CVE-2024-27917

Versões do Shopware 6.5.8.0 a 6.5.8.6

O problema decorre do Symfony Session Handler, que extrai o cookie de sessão e o atribui à resposta. Desde o Shopware 6.5.8.0, as páginas 404 são armazenadas em cache para melhorar o desempenho, resultando em uma resposta em cache contendo um cookie de sessão quando o navegador que acessa a página 404 ainda não possui cookies. Isso ocorre quando nenhuma configuração explícita de sessão foi feita e o Redis não é utilizado para sessões. O problema pode levar a uma sessão de navegador de visitante ser armazenada em cache em uma página 404, fazendo com que cada imagem ausente ou acesso direto a uma página 404 faça o logout do cliente ou limpe seu carrinho.

Para as versões do Shopware 6.5.8.0 a 6.5.8.6, atualize para a versão 6.5.8.7 do Shopware para resolver o problema.

Como solução alternativa temporária para as versões afetadas, considere usar o Redis para sessões configurando session.save handler = redis e session.save path = “tcp://127.0.0.1:6379” no php.ini, pois isso não aciona o código de exploração.