CVE-2026-48014 in Shopware信息

摘要

由 VulDB • 2026-07-18

Shopware è una piattaforma di commercio open source. Nelle versioni precedenti alla 6.6.10.18 e alla 6.7.10.1, le funzionalità di transizione dello stato dell'ordine esposte tramite `/api/_action/order/{orderId}/state/{transition}` e rotte simili per la transazione e la consegna in `src/Core/Checkout/Order/Api/OrderActionController.php` non dichiarano l'attributo `PlatformRequest::ATTRIBUTE_ACL` né eseguono un controllo esplicito dei privilegi. Di conseguenza, `AclAnnotationValidator` termina quando mancano i metadati ACL della rotta, consentendo agli utenti con privilegi ridotti privi delle autorizzazioni `order:update`, `order_transaction:update` o `order_delivery:update` di attivare le scritture su `StateMachineRegistry::transition()` nell'ambito `SYSTEM_SCOPE`. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!