CVE-2026-48009 in Shopware
Сводка
по VulDB • 17.07.2026
Shopware — это платформа электронной коммерции с открытым исходным кодом. Версии до 6.6.10.18 и 6.7.10.1 уязвимы: пользователь администратора с низким уровнем привилегий, имеющий право на чтение ACL user_recovery:read, может захватить контроль над любой учетной записью администратора путем отправки запроса POST /api/_action/user/user-recovery, чтения хеша восстановления пароля через POST /api/search/user-recovery и использования PATCH /api/_action/user/user-recovery/password; корневая причина заключается в том, что файл src/Core/System/User/Recovery/UserRecoveryDefinition.php открывает поле hash для доступа через Admin API без указания ApiAware(false) или ReadProtection. Эта проблема исправлена в версиях 6.6.10.18 и 6.7.10.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.