CVE-2025-51541

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-51541
A stored cross-site scripting (XSS) vulnerability exists in the Shopware 6 installation interface at /recovery/install/database-configuration/. The c_database_schema field fails to properly sanitize user-supplied input before rendering it in the browser, allowing an attacker to inject malicious JavaScript. This vulnerability can be exploited via a Cross-Site Request Forgery (CSRF) attack due to the absence of CSRF protections on the POST request. An unauthenticated remote attacker can craft a malicious web page that, when visited by a victim, stores the payload persistently in the installation configuration. As a result, the payload executes whenever any user subsequently accesses the vulnerable installation page, leading to persistent client-side code execution.

6.1 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://gist.github.com/anonx-hunter/a7ef32a01d7d888413b08bf8589fdd7e#file-cve-2025-51541-shopware-xss-md Exploit Third Party Advisory
https://www.dax-tokaido.com/recovery/install/database-configuration/ Not Applicable
https://gist.github.com/anonx-hunter/a7ef32a01d7d888413b08bf8589fdd7e#file-cve-2025-51541-shopware-xss-md Exploit Third Party Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
History

10 Sep 2025, 15:30

Type Values Removed Values Added
First Time Shopware
Shopware shopware
CPE cpe:2.3:a:shopware:shopware:*:*:*:*:*:*:*:*
Summary (es) Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la interfaz de instalación de Shopware 6, ubicada en /recovery/install/database-configuration/. El campo c_database_schema no depura correctamente la información proporcionada por el usuario antes de mostrarla en el navegador, lo que permite a un atacante inyectar JavaScript malicioso. Esta vulnerabilidad puede explotarse mediante un ataque de Cross-Site Request Forgery (CSRF) debido a la ausencia de protección CSRF en la solicitud POST. Un atacante remoto no autenticado puede manipular una página web maliciosa que, al ser visitada por una víctima, almacena la payload de forma persistente en la configuración de la instalación. Como resultado, la payload se ejecuta cada vez que un usuario accede posteriormente a la página de instalación vulnerable, lo que provoca la ejecución persistente de código del lado del cliente. (es) Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la interfaz de instalación de Shopware 6, ubicada en /recovery/install/database-configuration/. El campo c_database_schema no depura correctamente la información proporcionada por el usuario antes de mostrarla en el navegador, lo que permite a un atacante inyectar JavaScript malicioso. Esta vulnerabilidad puede explotarse mediante un ataque de Cross-Site Request Forgery (CSRF) debido a la ausencia de protección CSRF en la solicitud POST. Un atacante remoto no autenticado puede manipular una página web maliciosa que, al ser visitada por una víctima, almacena el payload de forma persistente en la configuración de la instalación. Como resultado, el payload se ejecuta cada vez que un usuario accede posteriormente a la página de instalación vulnerable, lo que provoca la ejecución persistente de código del lado del cliente.
References () https://gist.github.com/anonx-hunter/a7ef32a01d7d888413b08bf8589fdd7e#file-cve-2025-51541-shopware-xss-md - () https://gist.github.com/anonx-hunter/a7ef32a01d7d888413b08bf8589fdd7e#file-cve-2025-51541-shopware-xss-md - Exploit, Third Party Advisory
References () https://www.dax-tokaido.com/recovery/install/database-configuration/ - () https://www.dax-tokaido.com/recovery/install/database-configuration/ - Not Applicable

07 Aug 2025, 14:15

Type Values Removed Values Added
CWE CWE-79
References () https://gist.github.com/anonx-hunter/a7ef32a01d7d888413b08bf8589fdd7e#file-cve-2025-51541-shopware-xss-md - () https://gist.github.com/anonx-hunter/a7ef32a01d7d888413b08bf8589fdd7e#file-cve-2025-51541-shopware-xss-md -
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.1
Summary
  • (es) Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la interfaz de instalación de Shopware 6, ubicada en /recovery/install/database-configuration/. El campo c_database_schema no depura correctamente la información proporcionada por el usuario antes de mostrarla en el navegador, lo que permite a un atacante inyectar JavaScript malicioso. Esta vulnerabilidad puede explotarse mediante un ataque de Cross-Site Request Forgery (CSRF) debido a la ausencia de protección CSRF en la solicitud POST. Un atacante remoto no autenticado puede manipular una página web maliciosa que, al ser visitada por una víctima, almacena la payload de forma persistente en la configuración de la instalación. Como resultado, la payload se ejecuta cada vez que un usuario accede posteriormente a la página de instalación vulnerable, lo que provoca la ejecución persistente de código del lado del cliente.

05 Aug 2025, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-08-05 20:15

Updated : 2025-09-10 15:30

NVD link : CVE-2025-51541

Mitre link : CVE-2025-51541

CVE.ORG link : CVE-2025-51541

JSON object : View

Products Affected

shopware

  • shopware
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')