Baradika

**Nome do Software Vulnerável e Versões Afetadas** Shopper versões anteriores a 2.8.0 **Descrição** Componentes Livewire de subformulário no editor de produtos — especificamente aqueles que lidam com Edição, Inventário, Seo, Envio e Arquivos — não possuem autorização em seu método `store()`. Isso permite que qualquer usuário autenticado no painel, independentemente de sua função, altere o preço do produto, estoque, metadados de SEO, dimensões de envio e mídias anexadas sem possuir a permissão `edit products`. Além disso, esses componentes aceitam o ID do produto como uma propriedade pública do Livewire que não está protegida pelo atributo `#[Locked]`, permitindo que um invasor direcione produtos arbitrários manipulando o payload wire do lado do cliente. **Recomendações** Atualizar para a versão 2.8.0.

**Nome do Software Vulnerável e Versões Afetadas** Shopper versões anteriores a 2.8.0 **Descrição** Duas falhas de autorização nas configurações de equipe permitem que um usuário autenticado comprometa o sistema de Controle de Acesso Baseado em Função (RBAC). O endpoint "Settings/Team/Index" não possui autorização `mount()`, permitindo que qualquer usuário autenticado acesse a página e utilize ações públicas para criar novas funções ou excluir outros usuários, incluindo administradores. Além disso, o endpoint "Settings/Team/RolePermission" restringe ações de escrita usando a permissão de apenas leitura `view users`. Consequentemente, qualquer usuário com `view users` pode conceder permissões arbitrárias, como `manage users` e `edit orders`, para si mesmo ou para outros, elevando seus privilégios para administrador total do painel. Juntas, essas falhas permitem que um usuário de baixo privilégio obtenha direitos de administrador e remova os administradores legítimos. **Recomendações** Atualizar para a versão 2.8.0.

**Nome do Software Vulnerável e Versões Afetadas** Shopper versões anteriores a 2.8.0 **Description** Nas tabelas administrativas de PaymentMethods, Currencies e Carriers, alternadores inline e ações por registro (como habilitar, desabilitar, editar e excluir) são exibidos para qualquer usuário autenticado do painel sem a verificação das permissões correspondentes para cada ação. Isso permite que um usuário de baixo privilégio desabilite todos os métodos de pagamento, altere ou desabilite a moeda padrão ou desabilite transportadoras, resultando em uma negação total do processo de checkout e perda da integridade de preços. **Recommendations** Atualizar para a versão 2.8.0.

**Nome do Software Vulnerável e Versões Afetadas** Shopper versões anteriores a 2.8.0 **Descrição** Usuários autenticados de baixo privilégio podem chamar múltiplas ações do Filament no detalhe do Pedido (Order detail) e na tabela de remessas de Pedidos (Order shipments table) do administrador sem as permissões necessárias para alterar pedidos. Especificamente, as ações cancel, mark paid, mark complete, capture payment, archive e start processing estão acessíveis com a permissão de apenas leitura `read orders`, em vez de exigirem `edit orders`. A função `capturePayment()` pode disparar uma captura real do Provedor de Serviços de Pagamento (PSP), resultando na movimentação real de fundos. Além disso, as ações mark delivered e edit tracking na tabela de remessas de pedidos estão acessíveis com a permissão de apenas leitura `browse orders`. Isso permite que um usuário com acesso de leitura altere o ciclo de vida de qualquer pedido e dispare capturas de pagamento. **Recomendações** Atualizar para a versão 2.8.0.

**Nome do Software Vulnerável e Versões Afetadas** Shopper versões anteriores a 2.8.0 **Description** Existe uma condição de corrida na função `CreateOrderFromCartAction::execute()`. O sistema cria uma linha de pedido antes de verificar e incrementar o contador `total use` de um desconto. Sob alta pressão de finalização de compra simultânea, como em vendas flash ou cupons virais, o `usage limit` global pode ser excedido. Isso permite que pedidos sejam confirmados com descontos totalmente aplicados ao `price amount`, mesmo após o contador atingir o `usage limit`, sem notificar o comerciante sobre o resgate excessivo. **Recommendations** Atualizar para a versão 2.8.0.