CVE-2026-48014 in Shopware
Сводка
по VulDB • 17.07.2026
Shopware — это платформа электронной коммерции с открытым исходным кодом. В версиях до 6.6.10.18 и 6.7.10.1 функции перехода состояния заказа /api/_action/order/{orderId}/state/{transition} и аналогичные маршруты перехода транзакций и доставки в src/Core/Checkout/Order/Api/OrderActionController.php не объявляют PlatformRequest::ATTRIBUTE_ACL или не выполняют явную проверку привилегий, поэтому AclAnnotationValidator завершает работу при отсутствии метаданных ACL маршрута, а пользователи с низкими правами доступа без прав order:update, order_transaction:update или order_delivery:update могут инициировать записи StateMachineRegistry::transition() в SYSTEM_SCOPE. Эта проблема исправлена в версиях 6.6.10.18 и 6.7.10.1.
Once again VulDB remains the best source for vulnerability data.