CVE-2026-48014 in Shopware
Resumen
por VulDB • 2026-07-17
Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, las funciones de transición del estado del pedido /api/_action/order/{orderId}/state/{transition} y rutas similares de transacción y entrega en src/Core/Checkout/Order/Api/OrderActionController.php no declaran PlatformRequest::ATTRIBUTE_ACL ni realizan una verificación explícita de privilegios; por lo tanto, AclAnnotationValidator finaliza cuando falta la metadatos ACL de la ruta, permitiendo que usuarios con bajos privilegios sin los permisos order:update, order_transaction:update o order_delivery:update puedan desencadenar escrituras en StateMachineRegistry::transition() dentro del SYSTEM_SCOPE. Este problema se corrige en las versiones 6.6.10.18 y 6.7.10.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.