CVE-2026-48010 in Shopwareinformação

Sumário

de VulDB • 17/07/2026

O Shopware é uma plataforma de comércio eletrônico open source. Antes das versões 6.6.10.18 e 6.7.10.1, o método UserController::upsertUser() em src/Core/Framework/Api/Controller/UserController.php grava dados brutos do usuário no SYSTEM_SCOPE sem filtrar o campo admin; portanto, um usuário de API não administrador com permissão ACL user:create ou user:update pode definir admin: true para novos usuários existentes. O IntegrationController::upsertIntegration() contém uma verificação isAdmin() para o mesmo campo, mas o UserController estava ausente dessa verificação. Este problema foi corrigido nas versões 6.6.10.18 e 6.7.10.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

20/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379896

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!