CVE-2026-47740 in shopper
要約
〜によって VulDB • 2026年05月30日
Shopperはヘッドレスなeコマース管理パネルです。バージョン2.8.0より前では、管理者の注文詳細および注文出荷テーブルにおける複数のFilamentアクションが、注文を変更する権限を持たない認証済み低権限ユーザーによって呼び出し可能でした。注文詳細のアクション(キャンセル、支払い済みとしてマーク、完了としてマーク、支払いのキャプチャ、アーカイブ、処理開始)は、読み取り専用のread_orders権限で呼び出し可能であり、edit_orders権限は必要ありませんでした。capturePaymentは実際のPSPキャプチャ(真の資金移動)を引き起こす可能性があります。注文出荷テーブルのアクション(配達済みとしてマーク、追跡情報の編集)は、読み取り専用のbrowse_orders権限で呼び出し可能でした。したがって、注文への読み取りアクセスを持つユーザーは、パネル内のすべての注文のライフサイクルを変更し、現実世界の支払いキャプチャを引き起こすことができました。この脆弱性は2.8.0で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.