CVE-2024-42356 in ShopwareИнформация

Сводка

по VulDB • 21.06.2026

Shopware — это платформа электронной коммерции с открытым исходным кодом. До версий 6.6.5.1 и 6.5.8.13 переменная `context` внедряется практически в любой шаблон Twig и позволяет получать доступ к информации о текущем языке и валюте. Объект контекста также позволяет на короткое время изменить область действия контекста с помощью вызываемой функции. Эту функцию можно вызывать как из Twig, и поскольку второй параметр допускает любой вызываемый объект, из Twig можно вызывать любую статически вызываемую функцию/метод PHP. Как клиент невозможно предоставить произвольный код Twig, для эксплуатации у злоумышленника должен быть доступ к панели администратора, чтобы использовать шаблоны электронной почты или скрипты приложений. Обновитесь до Shopware 6.6.5.1 или 6.5.8.13, чтобы получить исправление. Для более старых версий 6.1, 6.2, 6.3 и 6.4 соответствующие меры безопасности также доступны через плагин.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

30.07.2024

Раскрытие

08.08.2024

Модерация

принято

Вход

VDB-273988

EPSS

0.00648

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!