Описание
Shopware Broken ACL on Document retrieval to access other customers documents
Impact
It's possible to guess the deepLinkCode of an Document to open documents of other customers
Patches
Update to Shopware 6.6.10.3 or 6.5.8.17
Workarounds
For older versions of 6.4, corresponding security measures are also available via a plugin. For the full range of functions, we recommend updating to the latest Shopware version.
Пакеты
Наименование
shopware/core
composer
Затронутые версииВерсия исправления
>= 6.6.0.0, < 6.6.10.3
6.6.10.3
Наименование
shopware/platform
composer
Затронутые версииВерсия исправления
>= 6.6.0.0, < 6.6.10.3
6.6.10.3
Наименование
shopware/core
composer
Затронутые версииВерсия исправления
>= 6.7.0.0-rc1, < 6.7.0.0-rc2
6.7.0.0-rc2
Наименование
shopware/platform
composer
Затронутые версииВерсия исправления
>= 6.7.0.0-rc1, < 6.7.0.0-rc2
6.7.0.0-rc2
Наименование
shopware/core
composer
Затронутые версииВерсия исправления
< 6.5.8.17
6.5.8.17
Наименование
shopware/platform
composer
Затронутые версииВерсия исправления
< 6.5.8.17
6.5.8.17
4 Medium
CVSS3
Дефекты
CWE-284
4 Medium
CVSS3
Дефекты
CWE-284