PT-2026-49165 · Shopxo · Shopxo
Yunyan05
·
Publicado
2026-06-15
·
Atualizado
2026-06-17
·
CVE-2026-12204
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
ShopXO versões anteriores a 6.7.2
Description
Um bypass de autorização existe no Scheduled Task Endpoint dentro do arquivo
app/api/controller/Crontab.php. Este problema permite que um invasor remoto ignore a autorização ao manipular as funções OrderClose(), OrderSuccess(), PayLogOrderClose() ou GoodsGiveIntegral().Recommendations
Atualize para uma versão posterior a 6.7.1.
Como medida paliativa temporária, restrinja o acesso às funções
OrderClose(), OrderSuccess(), PayLogOrderClose() e GoodsGiveIntegral() no arquivo app/api/controller/Crontab.php.Exploit
Correção
Improper Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Shopxo