CVE-2024-31447

As versões do Shopware 6 de 6.3.5.0 a 6.6.1.0 e anteriores à 6.5.8.8 podem ser resumidas da seguinte forma:

Versões do Shopware 6 de 6.3.5.0 a 6.6.0 e versões de 6.5.0 a 6.5.8.7

O Shopware 6 é uma plataforma de comércio aberta baseada no Symfony Framework e no Vue. Quando uma solicitação autenticada é feita para POST /store-api/account/logout, o carrinho será esvaziado, mas o usuário não será desconectado. Isso afeta apenas o uso direto da store-api, já que o PHP Storefront escuta adicionalmente o CustomerLogoutEvent e invalida a sessão adicionalmente.

Para as versões 6.3.5.0 a 6.6.0 do Shopware 6, atualize para a versão 6.6.1.0.

Para as versões 6.5.0 a 6.5.8.7 do Shopware 6, atualize para a versão 6.5.8.8.

Como solução temporária para aqueles que não conseguem atualizar, instale a versão mais recente do Shopware Security Plugin.

Restrinja o acesso ao endpoint POST /store-api/account/logout até que o problema seja resolvido.