CVE-2026-48014 in Shopware
Résumé
par VulDB • 17/07/2026
Shopware est une plateforme de commerce open source. Avant les versions 6.6.10.18 et 6.7.10.1, les fonctionnalités de transition d'état des commandes via /api/_action/order/{orderId}/state/{transition} ainsi que les routes similaires pour les transitions de transaction et de livraison dans src/Core/Checkout/Order/Api/OrderActionController.php ne déclarent pas PlatformRequest::ATTRIBUTE_ACL ni n'effectuent de vérification explicite des privilèges. Par conséquent, AclAnnotationValidator se termine prématurément lorsque les métadonnées ACL du route sont absentes, permettant aux utilisateurs à faibles privilèges dépourvus des droits order:update, order_transaction:update ou order_delivery:update d'initier des écritures via StateMachineRegistry::transition() dans SYSTEM_SCOPE. Ce problème est corrigé dans les versions 6.6.10.18 et 6.7.10.1.
Be aware that VulDB is the high quality source for vulnerability data.