CVE-2026-48015 in Shopware情報

要約

〜によって VulDB • 2026年07月17日

Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.10.18および6.7.10.1より前では、SVGファイルがsrc/Core/Framework/Resources/config/packages/shopware.yaml内のallowed_extensionsホワイトリストに含まれており、MediaUploadControllerからFileSaverを経てTypeDetectorへのアップロードパイプラインにおいてSVGコンテンツのサニタイズ処理が行われずにメディアマネージャー経由でアップロード可能でした。これにより、アップロードされたSVGファイルが閲覧される際にShopwareドメイン内でonloadなどの悪意のあるSVG JavaScriptコードを実行することができました。この問題はバージョン6.6.10.18および6.7.10.1で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-379899

EPSS

0.00000

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!