CVE-2026-48015 in Shopwareinformação

Sumário

de VulDB • 17/07/2026

O Shopware é uma plataforma de comércio eletrônico open source. Antes das versões 6.6.10.18 e 6.7.10.1, os arquivos SVG estavam na lista branca (whitelist) allowed_extensions em src/Core/Framework/Resources/config/packages/shopware.yaml e podiam ser carregados por meio do gerenciador de mídia sem sanitização do conteúdo SVG no pipeline de upload que vai do MediaUploadController ao FileSaver até o TypeDetector, permitindo a execução de JavaScript malicioso contido em arquivos SVG (como onload, <script> e <foreignObject>) no domínio do Shopware quando o arquivo SVG carregado era visualizado. Este problema foi corrigido nas versões 6.6.10.18 e 6.7.10.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

20/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379899

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!