CVE-2026-47740
WysokieStreszczenie
W panelu administracyjnym e-commerce Shopper przed wersją 2.8.0, uwierzytelniony użytkownik o niskich uprawnieniach mógł wykonywać różne akcje na szczegółach zamówień i tabeli wysyłek bez wymaganych uprawnień do ich modyfikacji. Umożliwiało to m.in. anulowanie zamówień oraz przeprowadzanie rzeczywistych transakcji płatniczych.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane zmiany w cyklu życia zamówień oraz na ryzyko nieautoryzowanego ruchu środków finansowych. Może to prowadzić do strat finansowych oraz naruszenia zaufania klientów.
Rekomendacja
Zaleca się aktualizację do wersji 2.8.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników w systemie.
Oryginalny opis (angielski, źródło NVD)
Shopper is a Headless e-commerce Admin Panel. Prior to 2.8.0, Multiple Filament actions on the admin Order detail and Order shipments table were callable by an authenticated low-privilege user without the permission required to mutate orders. The order detail actions cancel, mark paid, mark complete, capture payment, archive, and start processing were callable with the read-only read_orders permission and did not require edit_orders. capturePayment could trigger an actual PSP capture (real funds movement). The order shipments table actions mark delivered and edit tracking were callable with the read-only browse_orders permission. A user with read access to orders could therefore alter the lifecycle of every order in the panel and trigger real-world payment captures. This vulnerability is fixed in 2.8.0.

