lukasz-rybak/CVE-2026-23498

# CVE-2026-23498：Shopware 在 Twig 渲染视图中对代码生成的控制不当 ## 概述 | 字段 | 详情 | |---|---| | **CVE ID** | [CVE-2026-23498](https://nvd.nist.gov/vuln/detail/CVE-2026-23498) | | **严重性** | HIGH | | **安全公告** | [查看公告](https://github.com/shopware/shopware/security/advisories/GHSA-7cw6-7h3h-v8pf) | | **发现者** | [Lukasz Rybak](https://github.com/lukasz-rybak) | ## 受影响产品 - **shopware/shopware**（版本：>= 6.7.0.0, < 6.7.6.1） - **shopware/core**（版本：>= 6.7.0.0, < 6.7.6.1） ## CWE 分类 - CWE-94：对代码生成的控制不当（'代码注入'） ## 详情 ### 影响 我们通过 [CVE-2023-2017](https://github.com/advisories/GHSA-7v2v-9rm4-7m8f) 修复了 Twig 过滤器，使其仅允许执行允许的函数。然而，出现了一个回归问题，导致针对 map(...) 覆盖的数组和精心构造的 PHP 闭包未经过允许列表的检查。 ### 补丁 已在 6.7.6.1 版本中修复。 ### 变通方法 安装安全插件 ### 参考资料 (https://github.com/advisories/GHSA-7v2v-9rm4-7m8f) ## 参考资料 - https://github.com/shopware/shopware/security/advisories/GHSA-7cw6-7h3h-v8pf - https://github.com/advisories/GHSA-7v2v-9rm4-7m8f - https://nvd.nist.gov/vuln/detail/CVE-2026-23498 - https://github.com/shopware/shopware/commit/3966b05590e29432b8485ba47b4fcd14dd0b8475 - https://github.com/advisories/GHSA-7cw6-7h3h-v8pf ## 免责声明 此 CVE 是按照协同漏洞披露实践负责任地披露的。此处提供的信息仅供教育和防御目的使用。

标签：CISA项目, CMS漏洞, CVE-2026-23498, CWE-94, GHSA-7cw6-7h3h-v8pf, OpenVAS, PHP, RCE, Shopware, SSTI, Twig模板引擎, Web安全, 代码生成控制不当, 安全公告, 安全补丁, 服务端模板注入, 漏洞修复, 电商安全, 编程工具, 网络安全培训, 蓝队分析, 足迹探测, 远程代码执行, 高危漏洞