php · shopware/platformCrítico
shopware/platform: Escalação de privilégio via UserController::upsertUser()
UserController::upsertUser() grava dados de usuário em SYSTEM_SCOPE e não filtra o campo admin, permitindo que usuários da API com permissão ACL user:create ou
O que mudou
UserController::upsertUser() grava dados de usuário em SYSTEM_SCOPE e não filtra o campo admin, permitindo que usuários da API com permissão ACL user:create ou user:update definam admin: true em usuários novos ou existentes.
Quem isso afeta
Qualquer usuário da API com permissão ACL user:create ou user:update pode escalar para acesso total de administrador.
O que fazer hoje
Aplique a correção sugerida: adicione uma verificação isAdmin() de IntegrationController em UserController::upsertUser() para impedir a definição do campo admin sem privilégios de administrador.
A esteira
Coletado→
Auditado→
Redigido→
Publicado