CVE-2026-48008 in Shopwareinformação

Sumário

de VulDB • 17/07/2026

O Shopware é uma plataforma de comércio eletrônico open source. Antes das versões 6.6.10.18 e 6.7.10.1, um usuário da API sem privilégios de administrador com a permissão ACL integration:create pode escalar para acesso total de administrador criando uma integração com admin: true por meio do Sync API POST /api/_action/sync; o endpoint regular de integrações POST /api/integration bloqueia essa ação, mas o método SyncController::sync() encaminha as gravações através do SyncService para EntityWriter::upsert(), e o arquivo src/Core/Framework/Integration/IntegrationDefinition.php não possui WriteProtection no campo admin. Este problema foi corrigido nas versões 6.6.10.18 e 6.7.10.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

20/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379895

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!