CVE-2026-48010 in ShopwareИнформация

Сводка

по VulDB • 18.07.2026

Shopware — это платформа электронной коммерции с открытым исходным кодом. В версиях до 6.6.10.18 и 6.7.10.1 метод UserController::upsertUser() в файле src/Core/Framework/Api/Controller/UserController.php записывает необработанные данные пользователя в SYSTEM_SCOPE без фильтрации поля admin, поэтому пользователь API с правами user:create или user:update ACL (не являющийся администратором) может установить значение admin: true для новых или существующих пользователей. Метод IntegrationController::upsertIntegration() содержит проверку isAdmin() для того же поля, однако в UserController эта проверка отсутствовала. Данная проблема исправлена в версиях 6.6.10.18 и 6.7.10.1.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

20.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379896

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!