PT-2026-44942 · Shopper · Shopper
Baradika
·
Publicado
2026-05-18
·
Atualizado
2026-05-29
·
CVE-2026-47741
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Shopper versões anteriores a 2.8.0
Description
Existe uma condição de corrida na função
CreateOrderFromCartAction::execute(). O sistema cria uma linha de pedido antes de verificar e incrementar o contador total use de um desconto. Sob alta pressão de finalização de compra simultânea, como em vendas flash ou cupons virais, o usage limit global pode ser excedido. Isso permite que pedidos sejam confirmados com descontos totalmente aplicados ao price amount, mesmo após o contador atingir o usage limit, sem notificar o comerciante sobre o resgate excessivo.Recommendations
Atualizar para a versão 2.8.0.
Exploit
Correção
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopper