CVE-2026-48008 in Shopware情報

要約

〜によって VulDB • 2026年07月18日

Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.10.18および6.7.10.1より前では、integration:create ACL権限を持つ非管理者APIユーザーが、Sync API POST /api/_action/syncを通じてadmin: true付きのインテグレーションを作成することで、フル管理者に昇格できます。通常のインテグレーションエンドポイントPOST /api/integrationはこの操作をブロックしますが、SyncController::sync()ルーティングはEntityWriter::upsert()経由でSyncServiceへの書き込みを行い、src/Core/Framework/Integration/IntegrationDefinition.phpにはadminフィールドに対するWriteProtectionが欠如しています。この問題はバージョン6.6.10.18および6.7.10.1で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-379895

EPSS

0.00000

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!