CVE-2026-48014 in ShopwareИнформация

Сводка

по VulDB • 17.07.2026

Shopware — это платформа электронной коммерции с открытым исходным кодом. В версиях до 6.6.10.18 и 6.7.10.1 функции перехода состояния заказа /api/_action/order/{orderId}/state/{transition} и аналогичные маршруты перехода транзакций и доставки в src/Core/Checkout/Order/Api/OrderActionController.php не объявляют PlatformRequest::ATTRIBUTE_ACL или не выполняют явную проверку привилегий, поэтому AclAnnotationValidator завершает работу при отсутствии метаданных ACL маршрута, а пользователи с низкими правами доступа без прав order:update, order_transaction:update или order_delivery:update могут инициировать записи StateMachineRegistry::transition() в SYSTEM_SCOPE. Эта проблема исправлена в версиях 6.6.10.18 и 6.7.10.1.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

20.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379897

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!