CVE-2026-47740 in shopperالمعلومات

الملخص

بحسب VulDB • 30/05/2026

Shopper هو لوحة تحكم إدارية للتجارة الإلكترونية تعمل بدون واجهة مستخدم (Headless). قبل الإصدار 2.8.0، كانت إجراءات Filament المتعددة على تفاصيل الطلب وجدول شحنات الطلبات قابلة للاستدعاء من قبل مستخدم منخفض الصلاحيات ومصادق عليه دون امتلاك الإذن المطلوب لتعديل الطلبات. كانت إجراءات تفاصيل الطلب، مثل إلغاء الطلب، وتحديد حالة الدفع، وإكمال الطلب، واستلام الدفع، والأرشفة، وبدء المعالجة، قابلة للاستدعاء باستخدام إذن القراءة فقط (read_orders) ولم تتطلب إذن تعديل الطلبات (edit_orders). كان بإمكان إجراء capturePayment تشغيل عملية استلام فعلية عبر بوابة الدفع (PSP) (نقل أموال حقيقية). كانت إجراءات جدول شحنات الطلب، مثل تحديد التسليم وتحرير التتبع، قابلة للاستدعاء باستخدام إذن التصفح فقط (browse_orders). وبالتالي، كان بإمكان المستخدم الذي لديه صلاحية قراءة الطلبات تعديل دورة حياة كل طلب في اللوحة وتشغيل عمليات استلام دفع حقيقية في العالم الواقعي. تم إصلاح هذا الثغرة الأمنية في الإصدار 2.8.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367327

CPE

جاهز

CWE

CWE-285 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00028

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47740
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47740
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47740/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!