CVE-2021-41120 in paypal-pluginالمعلومات

الملخص

بحسب VulDB • 26/06/2026

sylius/paypal-plugin هو إضافة PayPal لمنصة التطوير Sylius. في الإصدارات المتأثرة، كان عنوان صفحة الدفع الذي يتم إنشاؤه بعد إتمام الشراء (/pay-with-paypal/{id}) يعتمد على معرف دفع متزايد تلقائياً (autoincremented payment id)، مما يجعله سهلاً للتنبؤ به. المشكلة تكمن في أن نموذج بطاقة الائتمان يحتوي على حقل "اسم حامل البطاقة" مُعبأ مسبقاً باسم العميل الأول والأخير، وبالتالي يمكن أن يؤدي ذلك إلى كشف معلومات تعريف شخصية. بالإضافة إلى ذلك، لم يتطلب النموذج المذكور أي مصادقة (authentication). تم إصلاح هذه المشكلة في الإصدارين Sylius/PayPalPlugin 1.2.4 و 1.3.1. إذا تعذر على المستخدمين التحديث، فيمكنهم تجاوز مسار sylius_paypal_plugin_pay_with_paypal_form وتغيير معاملات URL الخاصة به إلى {orderToken}/{paymentId} (على سبيل المثال)، ثم تجاوز خدمة Sylius\PayPalPlugin\Controller\PayWithPayPalFormAction للعمل مع الدفع المستخرج من المستودع باستخدام هذين القيمتين. سيستلزم ذلك أيضاً استخدام طريقة مستودع مخصصة. بالإضافة إلى ذلك، يمكن للمستخدمين تجاوز قالب @SyliusPayPalPlugin/payWithPaypal.html.twig لإضافة احتياطات: إضافة السطر ['SCA_ALWAYS'] في استدعاء دالة hostedFields.submit(...) (السطر 421). ثم يجب التعامل مع هذا الأمر داخل رد الاتصال الخاص بالدالة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub, Inc.

حجز

15/09/2021

إفشاء

06/10/2021

الاعتدال

تمت الموافقة

إدخال

VDB-183863

EPSS

0.01493

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!