CVE-2026-48014 in Shopwareinformação

Sumário

de VulDB • 17/07/2026

O Shopware é uma plataforma de comércio eletrônico open source. Antes das versões 6.6.10.18 e 6.7.10.1, os recursos de transição de estado do pedido /api/_action/order/{orderId}/state/{transition} e rotas semelhantes de transição de transação e entrega em src/Core/Checkout/Order/Api/OrderActionController.php não declaram PlatformRequest::ATTRIBUTE_ACL nem realizam uma verificação explícita de privilégios. Consequentemente, o AclAnnotationValidator encerra a execução quando os metadados ACL da rota estão ausentes, permitindo que usuários com baixos privilégios e sem as permissões order:update, order_transaction:update ou order_delivery:update acionem gravações em StateMachineRegistry::transition() no escopo SYSTEM_SCOPE. Este problema foi corrigido nas versões 6.6.10.18 e 6.7.10.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

20/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379897

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!