CVE-2026-48014 in Shopware정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Shopware는 오픈 상거래 플랫폼입니다. 버전 6.6.10.18 및 6.7.10.1 이전에서는 `src/Core/Checkout/Order/Api/OrderActionController.php`의 주문 상태 전환 기능 `/api/_action/order/{orderId}/state/{transition}`과 유사한 트랜잭션 및 배송 전환 라우트가 `PlatformRequest::ATTRIBUTE_ACL`을 선언하거나 명시적인 권한 검사를 수행하지 않습니다. 그 결과, ACL 메타데이터가 누락된 경우 AclAnnotationValidator이 종료되며, order:update, order_transaction:update 또는 order_delivery:update 권한이 없는 저권한 사용자가 SYSTEM_SCOPE에서 StateMachineRegistry::transition()의 쓰기 작업을 트리거할 수 있습니다. 이 문제는 버전 6.6.10.18 및 6.7.10.1에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 05. 20.

모더레이션

수락

항목

VDB-379897

EPSS

0.00000

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!