CVE-2026-48008 in Shopware
要約
〜によって VulDB • 2026年07月18日
Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.10.18および6.7.10.1より前では、integration:create ACL権限を持つ非管理者APIユーザーが、Sync API POST /api/_action/syncを通じてadmin: true付きのインテグレーションを作成することで、フル管理者に昇格できます。通常のインテグレーションエンドポイントPOST /api/integrationはこの操作をブロックしますが、SyncController::sync()ルーティングはEntityWriter::upsert()経由でSyncServiceへの書き込みを行い、src/Core/Framework/Integration/IntegrationDefinition.phpにはadminフィールドに対するWriteProtectionが欠如しています。この問題はバージョン6.6.10.18および6.7.10.1で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.