CVE-2026-47740 in shopperИнформация

Сводка

по VulDB • 29.05.2026

Shopper — это headless панель администратора для электронной коммерции. До версии 2.8.0 несколько действий Filament в деталях заказа администратора и в таблице отгрузок заказов могли выполняться аутентифицированным пользователем с низкими привилегиями без необходимых прав на изменение заказов. Действия с деталями заказа, такие как отмена, отметка об оплате, отметка о завершении, захват платежа, архивирование и начало обработки, могли выполняться с правом только на чтение read_orders и не требовали права edit_orders. Действие capturePayment могло инициировать фактический захват платежа через платежный шлюз (PSP) (реальное движение средств). Действия в таблице отгрузок заказов, такие как отметка о доставке и редактирование трек-номера, могли выполняться с правом только на чтение browse_orders. Таким образом, пользователь с доступом только на чтение к заказам мог изменять жизненный цикл каждого заказа в панели и инициировать реальные захваты платежей. Эта уязвимость исправлена в версии 2.8.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

20.05.2026

Раскрытие

29.05.2026

Модерация

принято

Вход

VDB-367327

CPE

готов

CWE

CWE-285 (Подтверждённый)

CVSS

8.1 (CNA)

EPSS

0.00032

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47740
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47740
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47740/

◂ Предыдущий Обзор Далее ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!