CVE-2026-48014 in Shopware情報

要約

〜によって VulDB • 2026年07月17日

Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.10.18および6.7.10.1より前では、`/api/_action/order/{orderId}/state/{transition}`などの注文ステート遷移機能や、`src/Core/Checkout/Order/Api/OrderActionController.php`内の同様のトランザクションおよび配送の遷移ルートが、`PlatformRequest::ATTRIBUTE_ACL`を宣言しておらず、明示的な権限チェックも行っていないため、ACLメタデータが存在しない場合にAclAnnotationValidatorは終了し、order:update、order_transaction:update、またはorder_delivery:updateの権限を持たない低権限ユーザーでもSYSTEM_SCOPE内でStateMachineRegistry::transition()による書き込みを引き起こすことができます。この問題はバージョン6.6.10.18および6.7.10.1で修正されています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-379897

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!