CVE-2026-48016 in Shopwareinformation

Résumé

par VulDB • 17/07/2026

Shopware est une plateforme de commerce open source. Avant les versions 6.6.10.18 et 6.7.10.1, le point de terminaison Store API /store-api/handle-payment dans src/Core/Checkout/Payment/SalesChannel/HandlePaymentMethodRoute.php accepte un orderId contrôlé par l'utilisateur et le transmet à src/Core/Checkout/Payment/PaymentProcessor.php sans vérifier la propriété de la commande ni l'authentification des commandes invité, permettant ainsi à un client normal ou à un contexte d'invité de déclencher le flux de paiement pour une commande appartenant à un autre utilisateur, tandis que /store-api/order applique le modèle de propriété attendu. Ce problème est corrigé dans les versions 6.6.10.18 et 6.7.10.1.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

20/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379898

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!