CVE-2024-42356 in Shopware情報

要約

〜によって VulDB • 2026年05月26日

Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.5.1および6.5.8.13より前では、`context`変数がほぼすべてのTwigテンプレートに注入され、現在の言語や通貨情報にアクセスすることができます。contextオブジェクトは、呼び出し可能な関数を持つヘルパーとして、Contextのスコープを一時的に切り替えることも可能にします。この関数はTwigからも呼び出すことができ、第2パラメータとして任意の呼び出し可能なものを許可しているため、Twigから任意の静的に呼び出し可能なPHP関数/メソッドを呼び出すことが可能です。顧客としてTwigコードを直接提供することはできませんが、攻撃者は管理画面へのアクセス権限を必要とし、メールテンプレートまたはAppスクリプトを使用してこれを悪用します。パッチを適用するには、Shopware 6.6.5.1または6.5.8.13にアップデートしてください。6.1、6.2、6.3、6.4の古いバージョンについても、プラグイン経由で対応するセキュリティ対策が提供されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2024年07月30日

モデレーション

承諾済み

エントリ

VDB-273988

EPSS

0.00648

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!