CVE-2024-22406

Versões do Shopware anteriores à 6.5.7.4

Versões 6.1, 6.2, 6.3 e 6.4 do Shopware

A API da aplicação Shopware contém uma funcionalidade de pesquisa que permite aos usuários pesquisar informações armazenadas em sua instância do Shopware. As pesquisas realizadas por essa função podem ser agregadas usando os parâmetros no objeto “aggregations”. O campo name nesse objeto “aggregations” é vulnerável a injeção de SQL e pode ser explorado usando consultas SQL baseadas em tempo.

Para versões anteriores à 6.5.7.4, atualize para o Shopware 6.5.7.4.

Para as versões 6.1, 6.2, 6.3 e 6.4, aplique as medidas de segurança correspondentes por meio de um plugin.

Como solução temporária, considere restringir o acesso ao objeto aggregations vulnerável até que um patch esteja disponível.

Evite usar o campo name no endpoint da API afetado até que o problema seja resolvido.