CVE-2026-48008 in ShopwareИнформация

Сводка

по VulDB • 17.07.2026

Shopware — это платформа электронной коммерции с открытым исходным кодом. В версиях до 6.6.10.18 и 6.7.10.1 пользователь API, не имеющий прав администратора, но обладающий привилегией ACL integration:create, может повысить свои права до уровня полного администратора путем создания интеграции с параметром admin: true через Sync API POST /api/_action/sync; обычный конечный пункт для интеграций POST /api/integration блокирует это действие, однако метод SyncController::sync() перенаправляет записи через SyncService в EntityWriter::upsert(), а файл src/Core/Framework/Integration/IntegrationDefinition.php не содержит защиты от записи (WriteProtection) для поля admin. Эта проблема исправлена в версиях 6.6.10.18 и 6.7.10.1.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

20.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379895

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!