Shopware is an open commerce platform. From 6.7.0.0 to before 6.7.6.1, a regression of CVE-2023-2017 leads to an array and array crafted PHP Closure not checked being against allow list for the map(...) override. This vulnerability is fixed in 6.7.6.1.
Shopware versions 6.7.0.0 to 6.7.6.0 contain a PHP code injection vulnerability in the map() function due to insufficient validation of closures against an allowlist. This regression of CVE-2023-2017 allows attackers to execute arbitrary code through crafted PHP closures.
تؤثر هذه الثغرة على منصات التجارة الإلكترونية المبنية على Shopware والتي تستخدم الإصدارات المتأثرة. يمكن للمهاجمين استغلال عدم التحقق من صحة الإغلاقات في دالة map() لتنفيذ كود PHP تعسفي على خادم التطبيق. هذا يشكل خطراً كبيراً على سلامة البيانات والعمليات التجارية للمتاجر الإلكترونية.
متاجر Shopware من الإصدار 6.7.0.0 إلى 6.7.6.0 تحتوي على ثغرة حقن كود PHP في دالة map() بسبب عدم التحقق الكافي من الإغلاقات ضد قائمة بيضاء. يسمح هذا الانحدار من CVE-2023-2017 للمهاجمين بتنفيذ كود تعسفي من خلال إغلاقات PHP مصنعة.
Upgrade Shopware to version 6.7.6.1 or later immediately. If immediate upgrade is not possible, implement Web Application Firewall (WAF) rules to block suspicious map() function calls with crafted closures and restrict access to affected Shopware instances to trusted networks only.
قم بترقية Shopware إلى الإصدار 6.7.6.1 أو أحدث فوراً. إذا لم يكن الترقية الفورية ممكنة، قم بتطبيق قواعد جدار حماية تطبيقات الويب لحظر استدعاءات دالة map() المريبة وتقييد الوصول إلى نسخ Shopware المتأثرة على الشبكات الموثوقة فقط.