CVE-2026-48008 in Shopwareinformación

Resumen

por VulDB • 2026-07-18

Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, un usuario de la API no administrador con el privilegio ACL integration:create puede escalar a administrador completo creando una integración con admin: true a través del endpoint POST /api/_action/sync de Sync API; el punto final regular para integraciones POST /api/integration bloquea esta acción, pero SyncController::sync() enruta las escrituras a través de SyncService hacia EntityWriter::upsert(), y src/Core/Framework/Integration/IntegrationDefinition.php carece de WriteProtection en el campo admin. Este problema se corrige en las versiones 6.6.10.18 y 6.7.10.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-05-20

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379895

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!