Shopper GHSA-c3qp CVE-2026-47744 CVSS 9.9:團隊設定頁面 RBAC 授權繞過讓任意使用者提升至管理員
GitHub Security Advisory · 2026-05-20
Laravel 電商框架 Shopper(shopper/framework,Composer 生態)在 2.8.0 之前的版本存在兩個獨立授權缺陷,合計 CVSS 9.9(Critical),允許任何已認證的面板使用者繞過 RBAC 建立角色、刪除管理員,或將自身從唯讀帳號提升為完整管理員。CVE 編號為 CVE-2026-47744,GHSA 編號 GHSA-c3qp-2ggw-xjg7。
漏洞機制
缺陷存在於兩個 Livewire 元件中:
- Settings/Team/Index:
mount()方法缺少授權檢查,任何已登入面板使用者均可存取「管理角色」頁面並建立新角色或刪除管理員帳號,不需要manage_users權限 - Settings/Team/RolePermission:寫入操作(更新權限、儲存角色)誤以
view_users(唯讀)而非manage_users作為授權門檻,使僅具「檢視使用者」權限的帳號可將自身提升為擁有manage_users與edit_orders的完整管理員
兩個缺陷均屬 CWE-269(Improper Privilege Management)與 CWE-285(Improper Authorization)。漏洞由 baradika 回報。
受影響版本
- 受影響:
shopper/admin < 2.8.0 - 已修補:
2.8.0
修補與緩解
修補方式是在 Settings/Team/Index::mount() 加入 manage_users 授權斷言,並將 Settings/Team/RolePermission 的寫入動作改為要求 manage_users 而非 view_users。升級指令:
composer require shopper/admin:^2.8無已知緩解措施,唯一修復路徑是升級至 2.8.0。若無法立即升級,應確保所有面板帳號均為受信任使用者,並監控 Settings/Team 相關操作日誌。
RUSTSEC-2026-0171:logflux crate 植入惡意程式碼,疑似針對 Rust 求職者的供應鏈攻擊
RustSec Advisory Database · 2026-06-04
RustSec 發布 RUSTSEC-2026-0171:Rust 套件 logflux 被確認含有惡意程式碼,嘗試在使用者機器上下載並執行惡意 payload。該 crate 已於 2026-04-26 發布,被發現後由 crates.io 移除,共存在約六週。發現者為 Paweł Bis。
漏洞機制
logflux 的惡意行為在 build script 或 init 階段觸發,向外部 URL 發出請求下載並執行二進制 payload,屬於典型的供應鏈 typosquatting / 偽裝套件攻擊。crates.io 上沒有任何已知套件依賴 logflux,調查人員因此推測其目標是以「帶回家作業」(take-home assignment)形式要求求職者安裝特定相依項目的社會工程攻擊——要求候選人在本機環境執行某個使用 logflux 的示範專案。
受影響版本
- 所有版本(crates.io 上僅有 2026-04-26 發布的一個版本)
- 修補版本:無;套件已從 crates.io 完全移除
修補與緩解
任何機器若曾執行依賴 logflux 的 Rust 專案,應視為可能已遭入侵,建議進行完整的端點安全掃描。使用 cargo audit 可偵測已知 RustSec 漏洞,但惡意 crate 的行為發生在 build 時而非執行時,因此安全審計的時間點需要前移到 cargo build 之前。
更廣泛的防護措施:在沙盒環境(如 Docker)執行來自不可信來源的 Rust 專案;對 Cargo.toml 中的不熟悉套件先以 cargo tree 審查,並在 crates.io 確認套件的下載量與維護歷史。此案例是已知最早針對求職場景的 Rust 生態供應鏈攻擊。
原始來源:RUSTSEC-2026-0171