← 戻る
CVE-2026-47740
high
CVSS 8.1
shopper/framework: Authorization bypass in multiple Livewire admin components
概要
shopper/framework: Authorization bypass in multiple Livewire admin components
AI要約 openai / gpt-4o
Shopperのヘッドレスeコマース管理パネルにおける脆弱性です。2.8.0以前のバージョンでは、認証された低権限のユーザーが注文の詳細や出荷情報を変更できる可能性があります。この問題はバージョン2.8.0で修正されました。
❓ 何が問題か
Shopperの管理パネルで低権限ユーザーが不適切にフィラメントアクションを実行できる脆弱性。
📍 影響範囲
Shopper 2.8.0未満のバージョンの管理パネル。
🔥 重要度
低権限のユーザーが実際の資金移動トリガーなど、注文の状態を変更可能。
🔧 修正方法
バージョン2.8.0にアップグレードする。
🛡️ 暫定回避
情報なし
🔍 検知方法
影響バージョンを使用している場合、管理パネルで予期しない状態遷移が発生していないか確認する。
影響パッケージ
composer
shopper/framework
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"2.8.0"}]}]
Packagist
shopper/framework
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"2.8.0"}]}]
参照URL
- advisory https://nvd.nist.gov/vuln/detail/CVE-2026-47740
- package https://github.com/shopperlabs/shopper
- web https://github.com/shopperlabs/shopper/pull/511
- web https://github.com/shopperlabs/shopper/security/advisories/GHSA-f946-9qp6-vgch
- web https://github.com/shopperlabs/shopper/issues/510
- web https://github.com/shopperlabs/shopper/commit/fcd0c5920588702df5b874f432b1042abd77a50b
- web https://github.com/shopperlabs/shopper/releases/tag/v2.8.0
- web https://github.com/advisories/GHSA-f946-9qp6-vgch