php · shopware/platformCrítico
shopware/platform: user_recovery hash exposto via API de busca
O campo `hash` da entidade `user_recovery` é exposto pelo endpoint de busca da Admin API (`POST /api/search/user-recovery`), permitindo que qualquer usuário com
O que mudou
O campo `hash` da entidade `user_recovery` é exposto pelo endpoint de busca da Admin API (`POST /api/search/user-recovery`), permitindo que qualquer usuário com a permissão ACL `user_recovery:read` leia hashes de recuperação que deveriam ser secretos e enviados apenas por e-mail.
Quem isso afeta
Todas as instâncias Shopware onde um usuário admin com privilégios baixos possui a permissão ACL `user_recovery:read`.
O que fazer hoje
Aplique a correção adicionando `new ApiAware(false)` ao campo `hash` em `src/Core/System/User/Recovery/UserRecoveryDefinition.php` para remover o hash das respostas da API.
A esteira
Coletado→
Auditado→
Redigido→
Publicado