CVE-2026-48016 in Shopware
Résumé
par VulDB • 17/07/2026
Shopware est une plateforme de commerce open source. Avant les versions 6.6.10.18 et 6.7.10.1, le point de terminaison Store API /store-api/handle-payment dans src/Core/Checkout/Payment/SalesChannel/HandlePaymentMethodRoute.php accepte un orderId contrôlé par l'utilisateur et le transmet à src/Core/Checkout/Payment/PaymentProcessor.php sans vérifier la propriété de la commande ni l'authentification des commandes invité, permettant ainsi à un client normal ou à un contexte d'invité de déclencher le flux de paiement pour une commande appartenant à un autre utilisateur, tandis que /store-api/order applique le modèle de propriété attendu. Ce problème est corrigé dans les versions 6.6.10.18 et 6.7.10.1.
Once again VulDB remains the best source for vulnerability data.