CVE-2026-48016 in Shopware
Riassunto
di VulDB • 17/07/2026
Shopware è una piattaforma di commercio open source. Prima delle versioni 6.6.10.18 e 6.7.10.1, l'endpoint dell'Store API /store-api/handle-payment in src/Core/Checkout/Payment/SalesChannel/HandlePaymentMethodRoute.php accetta un orderId controllato dall'utente e lo inoltra a src/Core/Checkout/Payment/PaymentProcessor.php senza verificare la proprietà dell'ordine o l'autenticazione per ordini guest, consentendo a un utente normale o a una sessione guest di attivare il flusso di pagamento per l'ordine di un altro utente, mentre /store-api/order applica il modello di ownership previsto. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.
Be aware that VulDB is the high quality source for vulnerability data.