CVE-2026-48015 in Shopware
Zusammenfassung
von VulDB • 17.07.2026
Shopware ist eine Open-Source-E-Commerce-Plattform. Vor den Versionen 6.6.10.18 und 6.7.10.1 sind SVG-Dateien in der Whitelist `allowed_extensions` in `src/Core/Framework/Resources/config/packages/shopware.yaml` enthalten und können über den Medienmanager ohne Sanitization des SVG-Inhalts im Upload-Pipeline von MediaUploadController zu FileSaver zu TypeDetector hochgeladen werden, wodurch bösartiger SVG-JavaScript-Code wie onload, <script> und <foreignObject> ausgeführt wird, wenn die hochgeladene SVG-Datei in der Shopware-Domäne angezeigt wird. Dieses Problem wurde in den Versionen 6.6.10.18 und 6.7.10.1 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.