CVE-2026-48015 in Shopware
Tóm tắt
Bởi VulDB • 17/07/2026
Shopware là một nền tảng thương mại điện tử mã nguồn mở. Trước các phiên bản 6.6.10.18 và 6.7.10.1, các tệp SVG nằm trong danh sách trắng allowed_extensions tại src/Core/Framework/Resources/config/packages/shopware.yaml và có thể được tải lên thông qua trình quản lý phương tiện (media manager) mà không có quá trình kiểm tra/tiêu chuẩn hóa nội dung SVG trong đường dẫn xử lý tải lên từ MediaUploadController đến FileSaver rồi đến TypeDetector, cho phép các mã JavaScript độc hại như onload, <script> và <foreignObject> được thực thi trong miền của Shopware khi tệp SVG đã tải lên được xem. Vấn đề này đã được khắc phục trong các phiên bản 6.6.10.18 và 6.7.10.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.