CVE-2026-48009 in Shopwareinformazioni

Riassunto

di VulDB • 17/07/2026

Shopware è una piattaforma di commercio open source. Prima delle versioni 6.6.10.18 e 6.7.10.1, un utente amministratore con privilegi ridotti dotato dell'ACL user_recovery:read può assumere il controllo di qualsiasi account amministrativo attivando POST /api/_action/user/user-recovery, leggendo l'hash di recupero della password tramite POST /api/search/user-recovery e utilizzando PATCH /api/_action/user/user-recovery/password; la causa radice è che src/Core/System/User/Recovery/UserRecoveryDefinition.php espone il campo hash attraverso l'Admin API senza ApiAware(false) o ReadProtection. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

20/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!