CVE-2026-47744

Nome do Software Vulnerável e Versões Afetadas Shopper versões anteriores a 2.8.0

Descrição Duas falhas de autorização nas configurações de equipe permitem que um usuário autenticado comprometa o sistema de Controle de Acesso Baseado em Função (RBAC). O endpoint "Settings/Team/Index" não possui autorização mount(), permitindo que qualquer usuário autenticado acesse a página e utilize ações públicas para criar novas funções ou excluir outros usuários, incluindo administradores. Além disso, o endpoint "Settings/Team/RolePermission" restringe ações de escrita usando a permissão de apenas leitura view users. Consequentemente, qualquer usuário com view users pode conceder permissões arbitrárias, como manage users e edit orders, para si mesmo ou para outros, elevando seus privilégios para administrador total do painel. Juntas, essas falhas permitem que um usuário de baixo privilégio obtenha direitos de administrador e remova os administradores legítimos.

Recomendações Atualizar para a versão 2.8.0.