CVE-2026-48008 in Shopware
Zusammenfassung
von VulDB • 17.07.2026
Shopware ist eine Open-Source-E-Commerce-Plattform. Vor den Versionen 6.6.10.18 und 6.7.10.1 kann ein nicht-administrativer API-Benutzer mit der ACL-Berechtigung `integration:create` die Rechte auf volle Administratorrechte eskalieren, indem er eine Integration mit `admin: true` über die Sync-API (POST /api/_action/sync) erstellt; der reguläre Integrationsendpunkt POST /api/integration blockiert dies zwar, aber SyncController::sync() leitet Schreibvorgänge über SyncService an EntityWriter::upsert() weiter, und src/Core/Framework/Integration/IntegrationDefinition.php enthält keinen WriteProtection-Schutz für das admin-Feld. Dieses Problem wurde in den Versionen 6.6.10.18 und 6.7.10.1 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.