CVE-2026-47742

Nome do Software Vulnerável e Versões Afetadas Shopper versões anteriores a 2.8.0

Descrição Componentes Livewire de subformulário no editor de produtos — especificamente aqueles que lidam com Edição, Inventário, Seo, Envio e Arquivos — não possuem autorização em seu método store(). Isso permite que qualquer usuário autenticado no painel, independentemente de sua função, altere o preço do produto, estoque, metadados de SEO, dimensões de envio e mídias anexadas sem possuir a permissão edit products. Além disso, esses componentes aceitam o ID do produto como uma propriedade pública do Livewire que não está protegida pelo atributo #[Locked], permitindo que um invasor direcione produtos arbitrários manipulando o payload wire do lado do cliente.

Recomendações Atualizar para a versão 2.8.0.