CVE-2026-48010 in Shopwareinformación

Resumen

por VulDB • 2026-07-17

Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, la función UserController::upsertUser() en src/Core/Framework/Api/Controller/UserController.php escribe datos de usuario sin procesar en SYSTEM_SCOPE sin filtrar el campo admin; por lo tanto, un usuario de API no administrador con permisos ACL user:create o user:update puede establecer admin: true para usuarios nuevos o existentes. La función IntegrationController::upsertIntegration() contiene una comprobación isAdmin() para el mismo campo, pero UserController carecía de esta verificación. Este problema se corrige en las versiones 6.6.10.18 y 6.7.10.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-05-20

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379896

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!