Katalog CVE

CVE-2026-47742

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w Shopper, przed wersją 2.8.0, dotyczy komponentów Livewire w edytorze produktów, które nie miały odpowiednich uprawnień w metodzie store(). Użytkownicy panelu mogli modyfikować ceny, stany magazynowe, metadane SEO, wymiary wysyłki oraz załączone media dowolnego produktu bez wymaganej roli edit_products.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane zmiany w produktach, co może prowadzić do strat finansowych oraz utraty zaufania klientów. Atakujący może manipulować danymi produktów, co wpływa na integralność systemu.

Rekomendacja

Zaleca się aktualizację do wersji 2.8.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników w panelu administracyjnym.

Oryginalny opis (angielski, źródło NVD)

Shopper is a Headless e-commerce Admin Panel. Prior to 2.8.0, Sub-form Livewire components used in the product editor (Edit, Inventory, Seo, Shipping, Files) had no authorization on their store() method. Any authenticated panel user, regardless of role, could mutate any product's pricing, stock, SEO metadata, shipping dimensions, and attached media without holding edit_products. The affected components accepted the product ID as a public Livewire property without #[Locked], so an attacker could also target an arbitrary product by tampering with the wire payload from the client. This vulnerability is fixed in 2.8.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS