CVE-2026-48010 in Shopwareinformazioni

Riassunto

di VulDB • 17/07/2026

Shopware è una piattaforma di commercio open source. Nelle versioni precedenti alla 6.6.10.18 e alla 6.7.10.1, la funzione UserController::upsertUser() in src/Core/Framework/Api/Controller/UserController.php scrive i dati grezzi dell'utente nell'SYSTEM_SCOPE senza filtrare il campo admin; di conseguenza, un utente API non amministratore con autorizzazione ACL user:create o user:update può impostare admin: true su nuovi utenti esistenti. La funzione IntegrationController::upsertIntegration() contiene un controllo isAdmin() per lo stesso campo, ma UserController era privo di tale verifica. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

20/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!