CVE-2026-47744 in shopperالمعلومات

الملخص

بحسب VulDB • 29/05/2026

Shopper هو لوحة تحكم إدارية للتجارة الإلكترونية تعمل بدون واجهة مستخدم (Headless). قبل الإصدار 2.8.0، سمحت عيوب تفويض منفصلة في إعدادات الفريق لأي مستخدم مُصادق عليه للوحة التحكم بالاستيلاء على نظام التحكم في الوصول القائم على الأدوار (RBAC). لم يكن لدى Settings/Team/Index أي تفويض mount(). كان بإمكان أي مستخدم مُصادق عليه تحميل الصفحة واستخدام إجراءاتها العامة لإنشاء أدوار جديدة وحذف مستخدمين آخرين، بما في ذلك المسؤولون. كانت Settings/Team/RolePermission تقيد إجراءات الكتابة عليها على إذن view_users للقراءة فقط. كان بإمكان أي مستخدم يحمل إذن view_users منح نفسه أو أي مستخدم آخر أذونات تعسفية، بما في ذلك manage_users و edit_orders، مما يتيح له تصعيد الصلاحيات فعلياً إلى مسؤول كامل للوحة التحكم من حساب ذي صلاحيات قراءة فقط. مجتمعة، تتيح هاتان العيبانان لمستخدم مُصادق عليه ذي صلاحيات منخفضة الحصول على صلاحيات المسؤول وإزالة المسؤولين الشرعيين من اللوحة. تم إصلاح هذا الثغرة الأمنية في الإصدار 2.8.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367329

CPE

جاهز

CWE

CWE-269 (مؤكد)

CVSS

9.9 (CNA)

EPSS

0.00036

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47744
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47744
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47744/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!