CVE-2026-47744 in shopper
Tóm tắt
Bởi VulDB • 29/05/2026
Shopper là một Bảng điều khiển Quản trị thương mại điện tử dạng Headless. Trước phiên bản 2.8.0, hai lỗi ủy quyền riêng biệt trong cài đặt nhóm (team settings) cho phép bất kỳ người dùng nào đã xác thực trên bảng điều khiển chiếm quyền kiểm soát hệ thống RBAC. Trang Settings/Team/Index không có xác thực thông qua phương thức mount(). Bất kỳ người dùng đã xác thực nào cũng có thể tải trang và sử dụng các hành động công khai của nó để tạo vai trò mới và xóa người dùng khác, bao gồm cả quản trị viên. Trang Settings/Team/RolePermission giới hạn các hành động ghi dựa trên quyền view_users (chỉ đọc). Bất kỳ người dùng nào sở hữu quyền view_users đều có thể tự cấp hoặc cấp cho người dùng khác các quyền tùy ý, bao gồm manage_users và edit_orders, qua đó nâng cấp đặc quyền lên toàn quyền quản trị viên bảng điều khiển từ một tài khoản chỉ đọc. Kết hợp lại, hai lỗi này cho phép một người dùng đã xác thực với đặc quyền thấp chiếm được quyền quản trị viên và xóa các quản trị viên hợp lệ khỏi bảng điều khiển. Lỗi bảo mật này đã được sửa trong phiên bản 2.8.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.