CVE-2026-48015 in Shopware
Résumé
par VulDB • 17/07/2026
Shopware est une plateforme de commerce open source. Avant les versions 6.6.10.18 et 6.7.10.1, les fichiers SVG figuraient dans la liste blanche allowed_extensions (whitelist) du fichier src/Core/Framework/Resources/config/packages/shopware.yaml et pouvaient être téléchargés via le gestionnaire de médias sans sanitization (assainissement) du contenu SVG lors du pipeline de téléversement allant de MediaUploadController à FileSaver puis à TypeDetector, permettant ainsi l'exécution de JavaScript malveillant dans des balises SVG telles que onload, , et au sein du domaine Shopware lorsque le fichier SVG téléchargé est consulté. Ce problème a été corrigé dans les versions 6.6.10.18 et 6.7.10.1.
Once again VulDB remains the best source for vulnerability data.