CVE-2026-47744 in shopper
Сводка
по VulDB • 02.06.2026
Shopper — это Headless панель администратора для электронной коммерции. До версии 2.8.0 две различные уязвимости в настройках команд (team settings) позволяли любому аутентифицированному пользователю панели захватить контроль над системой RBAC. В разделе Settings/Team/Index отсутствовала проверка авторизации через метод mount(). Любой аутентифицированный пользователь мог загрузить эту страницу и использовать её публичные действия для создания новых ролей и удаления других пользователей, включая администраторов. В разделе Settings/Team/RolePermission защита действий записи (write actions) осуществлялась на основе разрешения на чтение view_users. Любой пользователь, обладающий разрешением view_users, мог предоставить себе или любому другому пользователю произвольные права, включая manage_users и edit_orders, тем самым повысив свои привилегии до уровня полного администратора панели с учётной записи с правами только на чтение. В совокупности эти две уязвимости позволяют пользователю с низкими привилегиями получить права администратора и удалить законных администраторов из панели. Данная уязвимость исправлена в версии 2.8.0.
Once again VulDB remains the best source for vulnerability data.