Sylius Security-Release (2.0.18/2.1.15/2.2.6)
Vorfall-Analyse (Sammelpost) zum Sylius-Security-Release vom 02.06.2026. Drei Advisories im Shop-/Payment-API-Pfad: GHSA-5597-7rmh-97q5 (Cart-FormComponent löscht/ändert abgeschlossene Order, CVSS 6.5, CWE-672/841), GHSA-mr9r-h354-966r (IDOR auf Shop-Payment-Request-Endpoints, CWE-639) und GHSA-6955-hrm5-c4qp (Channel-basierter Zahlart-Bypass, CVSS 4.3, CWE-863). Betroffen: 2.0.0–2.0.17, 2.1.0–2.1.14, 2.2.0–2.2.5. Behoben in 2.0.18 / 2.1.15 / 2.2.6. Keine CVE-IDs, alle Moderate, keine bekannte aktive Ausnutzung. Fix per composer update; je Lücke ein dokumentierter Workaround per Service-Override.