CVE-2026-48015 in Shopware
要約
〜によって VulDB • 2026年07月17日
Shopwareはオープンソースのコマースプラットフォームです。バージョン6.6.10.18および6.7.10.1より前では、SVGファイルがsrc/Core/Framework/Resources/config/packages/shopware.yaml内のallowed_extensionsホワイトリストに含まれており、MediaUploadControllerからFileSaverを経てTypeDetectorへのアップロードパイプラインにおいてSVGコンテンツのサニタイズ処理が行われずにメディアマネージャー経由でアップロード可能でした。これにより、アップロードされたSVGファイルが閲覧される際にShopwareドメイン内でonloadなどの悪意のあるSVG JavaScriptコードを実行することができました。この問題はバージョン6.6.10.18および6.7.10.1で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.