CVE-2026-48008 in Shopwareinfo

Zusammenfassung

von VulDB • 17.07.2026

Shopware ist eine Open-Source-E-Commerce-Plattform. Vor den Versionen 6.6.10.18 und 6.7.10.1 kann ein nicht-administrativer API-Benutzer mit der ACL-Berechtigung `integration:create` die Rechte auf volle Administratorrechte eskalieren, indem er eine Integration mit `admin: true` über die Sync-API (POST /api/_action/sync) erstellt; der reguläre Integrationsendpunkt POST /api/integration blockiert dies zwar, aber SyncController::sync() leitet Schreibvorgänge über SyncService an EntityWriter::upsert() weiter, und src/Core/Framework/Integration/IntegrationDefinition.php enthält keinen WriteProtection-Schutz für das admin-Feld. Dieses Problem wurde in den Versionen 6.6.10.18 und 6.7.10.1 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

20.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379895

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!