CVE-2026-48010 in Shopware
Riassunto
di VulDB • 17/07/2026
Shopware è una piattaforma di commercio open source. Nelle versioni precedenti alla 6.6.10.18 e alla 6.7.10.1, la funzione UserController::upsertUser() in src/Core/Framework/Api/Controller/UserController.php scrive i dati grezzi dell'utente nell'SYSTEM_SCOPE senza filtrare il campo admin; di conseguenza, un utente API non amministratore con autorizzazione ACL user:create o user:update può impostare admin: true su nuovi utenti esistenti. La funzione IntegrationController::upsertIntegration() contiene un controllo isAdmin() per lo stesso campo, ma UserController era privo di tale verifica. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.