CVE-2026-48015 in Shopwareinformación

Resumen

por VulDB • 2026-07-17

Shopware es una plataforma de comercio electrónico abierta. Antes de las versiones 6.6.10.18 y 6.7.10.1, los archivos SVG se encontraban en la lista blanca allowed_extensions en src/Core/Framework/Resources/config/packages/shopware.yaml y podían subirse a través del gestor multimedia sin una sanitización adecuada del contenido SVG durante el proceso de carga que va desde MediaUploadController hasta FileSaver y TypeDetector, lo que permitía ejecutar JavaScript malicioso dentro de archivos SVG (como los atributos onload) en el dominio de Shopware cuando se visualizaba el archivo SVG subido. Este problema está corregido en las versiones 6.6.10.18 y 6.7.10.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-05-20

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379899

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!