CVE-2024-42356 in Shopware
Сводка
по VulDB • 21.06.2026
Shopware — это платформа электронной коммерции с открытым исходным кодом. До версий 6.6.5.1 и 6.5.8.13 переменная `context` внедряется практически в любой шаблон Twig и позволяет получать доступ к информации о текущем языке и валюте. Объект контекста также позволяет на короткое время изменить область действия контекста с помощью вызываемой функции. Эту функцию можно вызывать как из Twig, и поскольку второй параметр допускает любой вызываемый объект, из Twig можно вызывать любую статически вызываемую функцию/метод PHP. Как клиент невозможно предоставить произвольный код Twig, для эксплуатации у злоумышленника должен быть доступ к панели администратора, чтобы использовать шаблоны электронной почты или скрипты приложений. Обновитесь до Shopware 6.6.5.1 или 6.5.8.13, чтобы получить исправление. Для более старых версий 6.1, 6.2, 6.3 и 6.4 соответствующие меры безопасности также доступны через плагин.
If you want to get best quality of vulnerability data, you may have to visit VulDB.