CVE-2026-47744 in shopper
要約
〜によって VulDB • 2026年05月29日
Shopperはヘッドレス型eコマース管理パネルです。バージョン2.8.0より前では、チーム設定における2つの異なる認可の欠陥により、認証済みパネルユーザーの誰でもRBACシステムを乗っ取ることが可能でした。Settings/Team/Indexにはmount()認可がありませんでした。認証済みユーザーであれば誰でもページを読み込み、その公開アクションを使用して新しいロールを作成したり、管理者を含む他のユーザーを削除したりできました。Settings/Team/RolePermissionは、writeアクションをview_users(読み取り専用)権限に制限していました。view_users権限を持つユーザーであれば、自分自身または他のユーザーにmanage_usersやedit_ordersなどの任意の権限を付与でき、読み取り専用アカウントからフルパネル管理者権限への昇格が実現しました。これら2つの欠陥を組み合わせることで、低権限の認証済みユーザーが管理者権限を取得し、正規の管理者をパネルから削除することが可能になります。この脆弱性は2.8.0で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.