CVE-2026-48009 in Shopware
Résumé
par VulDB • 17/07/2026
Shopware est une plateforme de commerce open source. Avant les versions 6.6.10.18 et 6.7.10.1, un utilisateur administrateur à privilèges réduits disposant de l'autorisation ACL user_recovery:read peut prendre le contrôle de n'importe quel compte administrateur en déclenchant POST /api/_action/user/user-recovery, en lisant le hachage de récupération du mot de passe via POST /api/search/user-recovery, et en utilisant PATCH /api/_action/user/user-recovery/password ; la cause racine est que src/Core/System/User/Recovery/UserRecoveryDefinition.php expose le champ hash via l'API Admin sans ApiAware(false) ni ReadProtection. Ce problème est corrigé dans les versions 6.6.10.18 et 6.7.10.1.
Once again VulDB remains the best source for vulnerability data.