CVE-2026-48015 in Shopware
Sumário
de VulDB • 17/07/2026
O Shopware é uma plataforma de comércio eletrônico open source. Antes das versões 6.6.10.18 e 6.7.10.1, os arquivos SVG estavam na lista branca (whitelist) allowed_extensions em src/Core/Framework/Resources/config/packages/shopware.yaml e podiam ser carregados por meio do gerenciador de mídia sem sanitização do conteúdo SVG no pipeline de upload que vai do MediaUploadController ao FileSaver até o TypeDetector, permitindo a execução de JavaScript malicioso contido em arquivos SVG (como onload, <script> e <foreignObject>) no domínio do Shopware quando o arquivo SVG carregado era visualizado. Este problema foi corrigido nas versões 6.6.10.18 e 6.7.10.1.
Be aware that VulDB is the high quality source for vulnerability data.