CVE-2024-42356 in Shopware정보

요약

\~에 의해 VulDB • 2026. 06. 21.

Shopware는 오픈 소스 커머스 플랫폼입니다. 버전 6.6.5.1 및 6.5.8.13 이전 버전에서는 `context` 변수가 거의 모든 Twig 템플릿에 주입되며, 현재 언어 및 통화에 대한 정보에 접근할 수 있습니다. context 객체는 호출 가능한 함수를 사용하여 컨텍스트의 범위를 일시적으로 전환하는 데도 사용될 수 있습니다. 이 함수는 Twig에서도 호출할 수 있으며, 두 번째 매개변수가 모든 호출 가능한 객체를 허용하므로 Twig에서 정적으로 호출 가능한 모든 PHP 함수/메서드를 호출할 수 있습니다. 고객은 Twig 코드를 직접 제공할 수 없으므로, 공격자는 우편 템플릿 또는 App 스크립트를 사용하여 이를 악용하기 위해 관리 시스템(Administration)에 대한 접근 권한이 필요합니다. 패치를 적용하려면 Shopware 6.6.5.1 또는 6.5.8.13로 업데이트하십시오. 6.1, 6.2, 6.3 및 6.4의 이전 버전에서도 플러그인을 통해 해당 보안 조치를 사용할 수 있습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2024. 07. 30.

모더레이션

수락

항목

VDB-273988

EPSS

0.00648

출처

Do you need the next level of professionalism?

Upgrade your account now!