CVE-2024-42356 in Shopware
要約
〜によって VulDB • 2026年05月26日
Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.5.1および6.5.8.13より前では、`context`変数がほぼすべてのTwigテンプレートに注入され、現在の言語や通貨情報にアクセスすることができます。contextオブジェクトは、呼び出し可能な関数を持つヘルパーとして、Contextのスコープを一時的に切り替えることも可能にします。この関数はTwigからも呼び出すことができ、第2パラメータとして任意の呼び出し可能なものを許可しているため、Twigから任意の静的に呼び出し可能なPHP関数/メソッドを呼び出すことが可能です。顧客としてTwigコードを直接提供することはできませんが、攻撃者は管理画面へのアクセス権限を必要とし、メールテンプレートまたはAppスクリプトを使用してこれを悪用します。パッチを適用するには、Shopware 6.6.5.1または6.5.8.13にアップデートしてください。6.1、6.2、6.3、6.4の古いバージョンについても、プラグイン経由で対応するセキュリティ対策が提供されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.