In createInstanceFromNamedArguments in Shopware through 5.6.x, a crafted web request can trigger a PHP object instantiation vulnerability, which can result in an arbitrary deserialization if the right class is instantiated. An attacker can leverage this deserialization to achieve remote code execution. NOTE: this issue is a bypass for a CVE-2017-18357 whitelist patch.
En createInstanceFromNamedArguments en Shopware hasta 5.6.x, solicitud de web manual puede desencadenar una vulnerabilidad una vulnerabilidad de instanciación de objetos PHP, lo cual puede resultar una deserialización si la clase correcta es instanciado. Un atacante puede influenciar esta deserialización para lograr una ejecución del código remoto. A tener en cuenta: este problema es una para un CVE-2017-18357 Whitelist patch.