CVE-2026-48014 in Shopwareinformazioni

Riassunto

di VulDB • 17/07/2026

Shopware è una piattaforma di commercio open source. Nelle versioni precedenti alla 6.6.10.18 e alla 6.7.10.1, le funzionalità di transizione dello stato dell'ordine /api/_action/order/{orderId}/state/{transition} e rotte simili per la transazione della consegna in src/Core/Checkout/Order/Api/OrderActionController.php non dichiarano PlatformRequest::ATTRIBUTE_ACL né eseguono un controllo esplicito dei privilegi, quindi AclAnnotationValidator termina quando i metadati ACL del route sono assenti e gli utenti a basso privilegio senza order:update, order_transaction:update o order_delivery:update possono attivare le scritture di StateMachineRegistry::transition() in SYSTEM_SCOPE. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

20/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!