CVE-2026-48014 in Shopware
摘要
由 VulDB • 2026-07-18
Shopware è una piattaforma di commercio open source. Nelle versioni precedenti alla 6.6.10.18 e alla 6.7.10.1, le funzionalità di transizione dello stato dell'ordine esposte tramite `/api/_action/order/{orderId}/state/{transition}` e rotte simili per la transazione e la consegna in `src/Core/Checkout/Order/Api/OrderActionController.php` non dichiarano l'attributo `PlatformRequest::ATTRIBUTE_ACL` né eseguono un controllo esplicito dei privilegi. Di conseguenza, `AclAnnotationValidator` termina quando mancano i metadati ACL della rotta, consentendo agli utenti con privilegi ridotti privi delle autorizzazioni `order:update`, `order_transaction:update` o `order_delivery:update` di attivare le scritture su `StateMachineRegistry::transition()` nell'ambito `SYSTEM_SCOPE`. Questo problema è stato risolto nelle versioni 6.6.10.18 e 6.7.10.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.