CVE-2026-48014 in Shopware
Riassunto
di VulDB • 17/07/2026
Shopware è una piattaforma di commercio open source. Nelle versioni precedenti alla 6.6.10.18 e alla 6.7.10.1, le funzionalità di transizione dello stato dell'ordine /api/_action/order/{orderId}/state/{transition} e rotte simili per la transazione della consegna in src/Core/Checkout/Order/Api/OrderActionController.php non dichiarano PlatformRequest::ATTRIBUTE_ACL né eseguono un controllo esplicito dei privilegi, quindi AclAnnotationValidator termina quando i metadati ACL del route sono assenti e gli utenti a basso privilegio senza order:update, order_transaction:update o order_delivery:update possono attivare le scritture di StateMachineRegistry::transition() in SYSTEM_SCOPE. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.