CVE-2026-48015 in Shopwareinformation

Résumé

par VulDB • 17/07/2026

Shopware est une plateforme de commerce open source. Avant les versions 6.6.10.18 et 6.7.10.1, les fichiers SVG figuraient dans la liste blanche allowed_extensions (whitelist) du fichier src/Core/Framework/Resources/config/packages/shopware.yaml et pouvaient être téléchargés via le gestionnaire de médias sans sanitization (assainissement) du contenu SVG lors du pipeline de téléversement allant de MediaUploadController à FileSaver puis à TypeDetector, permettant ainsi l'exécution de JavaScript malveillant dans des balises SVG telles que onload, , et au sein du domaine Shopware lorsque le fichier SVG téléchargé est consulté. Ce problème a été corrigé dans les versions 6.6.10.18 et 6.7.10.1.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

20/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379899

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!