CVE-2026-48014 in Shopwareinformación

Resumen

por VulDB • 2026-07-17

Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, las funciones de transición del estado del pedido /api/_action/order/{orderId}/state/{transition} y rutas similares de transacción y entrega en src/Core/Checkout/Order/Api/OrderActionController.php no declaran PlatformRequest::ATTRIBUTE_ACL ni realizan una verificación explícita de privilegios; por lo tanto, AclAnnotationValidator finaliza cuando falta la metadatos ACL de la ruta, permitiendo que usuarios con bajos privilegios sin los permisos order:update, order_transaction:update o order_delivery:update puedan desencadenar escrituras en StateMachineRegistry::transition() dentro del SYSTEM_SCOPE. Este problema se corrige en las versiones 6.6.10.18 y 6.7.10.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-05-20

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379897

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!