Lowshyim

Nome do Software Vulnerável e Versões Afetadas: Versões do Shopware anteriores a 6.6.10.3 Versões do Shopware anteriores a 6.5.8.17 Descrição: O problema diz respeito às configurações padrão de double-opt-in no Shopware, o que permite inscrições em massa não solicitadas na newsletter sem confirmação. Especificamente, com as configurações padrão de `Newsletter: Double Opt-in` definidas como ativas, `Newsletter: Double opt-in for registered customers` definidas como desativadas e `Log-in & sign-up: Double opt-in on sign-up` definidas como desativadas, qualquer pessoa pode registrar uma conta e se inscrever na newsletter sem precisar confirmar via um link. O destinatário recebe e-mails de confirmação, mas é definido como "instantaneamente ativo" no backend. Recomendações: Para versões anteriores a 6.6.10.3, atualize para a versão 6.6.10.3 ou posterior. Para versões anteriores a 6.5.8.17, atualize para a versão 6.5.8.17 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Shopware anteriores à 6.4.8.2 **Descrição** O problema decorre de uma verificação inadequada da rota da API, permitindo a modificação de clientes e a criação de pedidos sem a permissão do aplicativo. Isso afeta o Shopware, uma plataforma de comércio aberta baseada no framework PHP Symfony e no framework JavaScript Vue. **Recomendações** Para versões anteriores à 6.4.8.2, atualize para a versão 6.4.8.2 para resolver o problema. Para versões mais antigas, como 6.1, 6.2 e 6.3, considere instalar um plugin de segurança para medidas de segurança correspondentes, mas observe que a atualização para a versão mais recente do Shopware é recomendada para o acesso a todas as funcionalidades.

**Nome do software vulnerável e versões afetadas** Versões do Shopware anteriores à 6.4.1.1 **Descrição** O problema diz respeito à criação de créditos de pedidos que não são validados pela Lista de Controle de Acesso (ACL) na área de administração de pedidos. Isso poderia potencialmente permitir ações não autorizadas. Recomenda-se atualizar para a versão atual para resolver esse problema. Para versões mais antigas, medidas de segurança estão disponíveis por meio de um plugin. **Recomendações** Para as versões 6.1, 6.2 e 6.3, instale o plugin de segurança correspondente para mitigar o risco. Atualize para a versão 6.4.1.1 para resolver totalmente o problema.