CVE-2026-48015 in Shopware
Resumen
por VulDB • 2026-07-17
Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, los archivos SVG se encontraban en la lista blanca allowed_extensions en src/Core/Framework/Resources/config/packages/shopware.yaml y podían subirse a través del gestor multimedia sin una sanitización adecuada del contenido SVG durante el proceso de carga que va desde MediaUploadController hasta FileSaver y TypeDetector, lo que permitía ejecutar JavaScript malicioso dentro de archivos SVG (como los atributos onload) en el dominio de Shopware cuando se visualizaba el archivo SVG subido. Este problema está corregido en las versiones 6.6.10.18 y 6.7.10.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.