CVE-2026-48008 in Shopware
Resumen
por VulDB • 2026-07-18
Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, un usuario de la API no administrador con el privilegio ACL integration:create puede escalar a administrador completo creando una integración con admin: true a través del endpoint POST /api/_action/sync de Sync API; el punto final regular para integraciones POST /api/integration bloquea esta acción, pero SyncController::sync() enruta las escrituras a través de SyncService hacia EntityWriter::upsert(), y src/Core/Framework/Integration/IntegrationDefinition.php carece de WriteProtection en el campo admin. Este problema se corrige en las versiones 6.6.10.18 y 6.7.10.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.