CVE-2026-48015 in Shopware
Riassunto
di VulDB • 17/07/2026
Shopware è una piattaforma di e-commerce open source. Nelle versioni precedenti alla 6.6.10.18 e alla 6.7.10.1, i file SVG sono presenti nella whitelist allowed_extensions in src/Core/Framework/Resources/config/packages/shopware.yaml e possono essere caricati tramite il media manager senza alcuna sanificazione del contenuto SVG nel pipeline di upload che va da MediaUploadController a FileSaver fino a TypeDetector; ciò consente l'esecuzione di JavaScript malevolo all'interno dei file SVG, come gli eventi onload, , e , nel dominio di Shopware quando viene visualizzato un file SVG caricato. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.