Katalog CVE

CVE-2026-47740

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W panelu administracyjnym e-commerce Shopper przed wersją 2.8.0, uwierzytelniony użytkownik o niskich uprawnieniach mógł wykonywać różne akcje na szczegółach zamówień i tabeli wysyłek bez wymaganych uprawnień do ich modyfikacji. Umożliwiało to m.in. anulowanie zamówień oraz przeprowadzanie rzeczywistych transakcji płatniczych.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane zmiany w cyklu życia zamówień oraz na ryzyko nieautoryzowanego ruchu środków finansowych. Może to prowadzić do strat finansowych oraz naruszenia zaufania klientów.

Rekomendacja

Zaleca się aktualizację do wersji 2.8.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników w systemie.

Oryginalny opis (angielski, źródło NVD)

Shopper is a Headless e-commerce Admin Panel. Prior to 2.8.0, Multiple Filament actions on the admin Order detail and Order shipments table were callable by an authenticated low-privilege user without the permission required to mutate orders. The order detail actions cancel, mark paid, mark complete, capture payment, archive, and start processing were callable with the read-only read_orders permission and did not require edit_orders. capturePayment could trigger an actual PSP capture (real funds movement). The order shipments table actions mark delivered and edit tracking were callable with the read-only browse_orders permission. A user with read access to orders could therefore alter the lifecycle of every order in the panel and trigger real-world payment captures. This vulnerability is fixed in 2.8.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS