php · shopware/platformAtenção
shopware/platform: Admin API order state transition endpoints sem verificação ACL
Endpoints de transição de estado de pedido na Admin API estão sem verificação de privilégios ACL, permitindo que usuários com privilégios baixos alterem estados
O que mudou
Endpoints de transição de estado de pedido na Admin API estão sem verificação de privilégios ACL, permitindo que usuários com privilégios baixos alterem estados de pedidos sem autorização adequada.
Quem isso afeta
Todas as instâncias Shopware com usuários autenticados na Admin API, especialmente contas de baixo privilégio (ex.: operador/suporte).
O que fazer hoje
Aplique o patch que adiciona requisitos ACL explícitos às rotas de transição em OrderActionController, ou restrinja manualmente o acesso a esses endpoints até que uma correção seja implantada.
A esteira
Coletado→
Auditado→
Redigido→
Publicado