CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-47745

Medium
Published: Translated: NVD NIST

Summary

W wersjach przed 2.8.0 panelu administracyjnego Shopper, tabele administracyjne dla metod płatności, walut i przewoźników ujawniały przełączniki inline oraz akcje per rekord (włącz, wyłącz, edytuj, usuń) dla każdego uwierzytelnionego użytkownika panelu, bez sprawdzania odpowiednich uprawnień. Użytkownik o niskich uprawnieniach mógł wyłączyć wszystkie metody płatności, zmienić domyślną walutę lub wyłączyć przewoźników.

Risk Assessment

Skutkiem tej podatności jest całkowity brak możliwości dokonania zakupu oraz utrata integralności cen, co może prowadzić do poważnych problemów dla sklepu internetowego. Każdy uwierzytelniony użytkownik mógłby wykorzystać tę lukę.

Recommendation

Zaleca się aktualizację do wersji 2.8.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników w panelu administracyjnym.

Original NVD description (English source)

Shopper is a Headless e-commerce Admin Panel. Prior to 2.8.0, the admin tables for PaymentMethods, Currencies and Carriers exposed inline toggles and per-record actions (enable, disable, edit, delete) that were rendered for any authenticated panel user without checking the corresponding per-action permission. A low-privilege user could disable every payment method on the store, disable or alter the default currency, or disable carriers. The impact is a full denial of checkout and pricing integrity loss, reachable by any authenticated user. This vulnerability is fixed in 2.8.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS