CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-47742

Medium
Published: Translated: NVD NIST

Summary

Podatność w Shopper, przed wersją 2.8.0, dotyczy komponentów Livewire w edytorze produktów, które nie miały odpowiednich uprawnień w metodzie store(). Użytkownicy panelu mogli modyfikować ceny, stany magazynowe, metadane SEO, wymiary wysyłki oraz załączone media dowolnego produktu bez wymaganej roli edit_products.

Risk Assessment

Organizacja narażona jest na nieautoryzowane zmiany w produktach, co może prowadzić do strat finansowych oraz utraty zaufania klientów. Atakujący może manipulować danymi produktów, co wpływa na integralność systemu.

Recommendation

Zaleca się aktualizację do wersji 2.8.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników w panelu administracyjnym.

Original NVD description (English source)

Shopper is a Headless e-commerce Admin Panel. Prior to 2.8.0, Sub-form Livewire components used in the product editor (Edit, Inventory, Seo, Shipping, Files) had no authorization on their store() method. Any authenticated panel user, regardless of role, could mutate any product's pricing, stock, SEO metadata, shipping dimensions, and attached media without holding edit_products. The affected components accepted the product ID as a public Livewire property without #[Locked], so an attacker could also target an arbitrary product by tampering with the wire payload from the client. This vulnerability is fixed in 2.8.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS