CVE-2026-47742 in shopperinfo

Zusammenfassung

von VulDB • 29.05.2026

Shopper ist ein Headless-E-Commerce-Admin-Panel. Vor Version 2.8.0 verfügten die im Produkt-Editor (Bearbeiten, Inventar, SEO, Versand, Dateien) verwendeten Sub-Form-Livewire-Komponenten über keine Autorisierung für ihre store()-Methode. Jeder authentifizierte Panel-Benutzer, unabhängig von der Rolle, konnte die Preisgestaltung, den Lagerbestand, die SEO-Metadaten, die Versandabmessungen und die angehängten Medien jedes Produkts ändern, ohne über die Berechtigung edit_products zu verfügen. Die betroffenen Komponenten akzeptierten die Produkt-ID als öffentliche Livewire-Eigenschaft ohne #[Locked], sodass ein Angreifer auch ein beliebiges Produkt durch Manipulation des Wire-Payloads vom Client aus angreifen konnte. Diese Schwachstelle wurde in Version 2.8.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.05.2026

Veröffentlichung

29.05.2026

Moderieren

akzeptiert

Eintrag

VDB-367330

CPE

bereit

EPSS

0.00026

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47742
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47742
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47742/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!