CVE-2026-48015 in Shopwarethông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Shopware là một nền tảng thương mại điện tử mã nguồn mở. Trước các phiên bản 6.6.10.18 và 6.7.10.1, các tệp SVG nằm trong danh sách trắng allowed_extensions tại src/Core/Framework/Resources/config/packages/shopware.yaml và có thể được tải lên thông qua trình quản lý phương tiện (media manager) mà không có quá trình kiểm tra/tiêu chuẩn hóa nội dung SVG trong đường dẫn xử lý tải lên từ MediaUploadController đến FileSaver rồi đến TypeDetector, cho phép các mã JavaScript độc hại như onload, <script> và <foreignObject> được thực thi trong miền của Shopware khi tệp SVG đã tải lên được xem. Vấn đề này đã được khắc phục trong các phiên bản 6.6.10.18 và 6.7.10.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

20/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!