关键信息 漏洞概述 漏洞标题: Adminer UI is accessible without admin session CVE ID: CVE-2026-25878 严重性: Low 影响范围: Unauthenticated access to Adminer UI 受影响版本与修复版本 漏洞详情 Summary: 未认证用户可以访问Adminer UI Details: Adminer路由(/admin/adminer)在没有Shopware管理员认证的情况下可访问。该路由配置了 且未进行会话验证,使未认证用户可以访问Adminer UI。但根据注释,仅通过此漏洞无法直接访问数据库。 Impact: 未认证用户可能访问Adminer界面,泄露版本信息或利用Adminer特有的漏洞。 修复与缓解措施 Patches: 版本2.2.1增加了会话验证,确保在渲染前验证了经过认证的会话标志,否则返回HTTP 403错误。 Workarounds: 停用或卸载插件。