CVE-2026-48014 in Shopware
要約
〜によって VulDB • 2026年07月17日
Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.10.18および6.7.10.1より前では、`/api/_action/order/{orderId}/state/{transition}`などの注文ステート遷移機能や、`src/Core/Checkout/Order/Api/OrderActionController.php`内の同様のトランザクションおよび配送の遷移ルートが、`PlatformRequest::ATTRIBUTE_ACL`を宣言しておらず、明示的な権限チェックも行っていないため、ACLメタデータが存在しない場合にAclAnnotationValidatorは終了し、order:update、order_transaction:update、またはorder_delivery:updateの権限を持たない低権限ユーザーでもSYSTEM_SCOPE内でStateMachineRegistry::transition()による書き込みを引き起こすことができます。この問題はバージョン6.6.10.18および6.7.10.1で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.