shopware/platform: Escalação de privilégio via Sync API com privilégio integration:create
Um usuário não administrador da API com privilégio ACL integration:create pode escalar para administrador completo criando uma integração com admin: true através da Sync API (POST /api/_action/sync).
O que mudou
Um usuário não administrador da API com privilégio ACL integration:create pode escalar para administrador completo criando uma integração com admin: true através da Sync API (POST /api/_action/sync). O endpoint de integração regular bloqueia isso, mas a Sync API ignora a verificação do controller escrevendo diretamente pelo DAL EntityWriter.
Quem isso afeta
Todas as instâncias do Shopware onde usuários não administradores da API possuem o privilégio ACL integration:create.
O que fazer hoje
Aplique a correção adicionando WriteProtection(Context::SYSTEM_SCOPE) ao campo admin em IntegrationDefinition.php, ou restrinja o privilégio integration:create apenas a usuários confiáveis.