CVE-2026-47740

Nome do Software Vulnerável e Versões Afetadas Shopper versões anteriores a 2.8.0

Descrição Usuários autenticados de baixo privilégio podem chamar múltiplas ações do Filament no detalhe do Pedido (Order detail) e na tabela de remessas de Pedidos (Order shipments table) do administrador sem as permissões necessárias para alterar pedidos. Especificamente, as ações cancel, mark paid, mark complete, capture payment, archive e start processing estão acessíveis com a permissão de apenas leitura read orders, em vez de exigirem edit orders. A função capturePayment() pode disparar uma captura real do Provedor de Serviços de Pagamento (PSP), resultando na movimentação real de fundos. Além disso, as ações mark delivered e edit tracking na tabela de remessas de pedidos estão acessíveis com a permissão de apenas leitura browse orders. Isso permite que um usuário com acesso de leitura altere o ciclo de vida de qualquer pedido e dispare capturas de pagamento.

Recomendações Atualizar para a versão 2.8.0.