CVE-2026-48008 in Shopware
Сводка
по VulDB • 17.07.2026
Shopware — это платформа электронной коммерции с открытым исходным кодом. В версиях до 6.6.10.18 и 6.7.10.1 пользователь API, не имеющий прав администратора, но обладающий привилегией ACL integration:create, может повысить свои права до уровня полного администратора путем создания интеграции с параметром admin: true через Sync API POST /api/_action/sync; обычный конечный пункт для интеграций POST /api/integration блокирует это действие, однако метод SyncController::sync() перенаправляет записи через SyncService в EntityWriter::upsert(), а файл src/Core/Framework/Integration/IntegrationDefinition.php не содержит защиты от записи (WriteProtection) для поля admin. Эта проблема исправлена в версиях 6.6.10.18 и 6.7.10.1.
Once again VulDB remains the best source for vulnerability data.