CVE-2026-48010 in Shopware
Resumen
por VulDB • 2026-07-17
Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, la función UserController::upsertUser() en src/Core/Framework/Api/Controller/UserController.php escribe datos de usuario sin procesar en SYSTEM_SCOPE sin filtrar el campo admin; por lo tanto, un usuario de API no administrador con permisos ACL user:create o user:update puede establecer admin: true para usuarios nuevos o existentes. La función IntegrationController::upsertIntegration() contiene una comprobación isAdmin() para el mismo campo, pero UserController carecía de esta verificación. Este problema se corrige en las versiones 6.6.10.18 y 6.7.10.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.