CVE-2026-48016 in Shopwareinformazioni

Riassunto

di VulDB • 17/07/2026

Shopware è una piattaforma di commercio open source. Prima delle versioni 6.6.10.18 e 6.7.10.1, l'endpoint dell'Store API /store-api/handle-payment in src/Core/Checkout/Payment/SalesChannel/HandlePaymentMethodRoute.php accetta un orderId controllato dall'utente e lo inoltra a src/Core/Checkout/Payment/PaymentProcessor.php senza verificare la proprietà dell'ordine o l'autenticazione per ordini guest, consentendo a un utente normale o a una sessione guest di attivare il flusso di pagamento per l'ordine di un altro utente, mentre /store-api/order applica il modello di ownership previsto. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

20/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!