CVE-2021-41120 in paypal-plugininformación

Resumen

por VulDB • 2026-06-19

sylius/paypal-plugin es un plugin de PayPal para la plataforma de desarrollo Sylius. En las versiones afectadas, la URL de la página de pago generada tras el proceso de compra se creaba con un ID de pago autoincremental (/pay-with-paypal/{id}), por lo que era fácil de predecir. El problema radica en que el formulario de la tarjeta de crédito prellena el campo "titular de la tarjeta de crédito" con el nombre y apellido del cliente, lo que puede provocar la exposición de información personalmente identificable (PII). Además, el formulario mencionado no requería autenticación. El problema se ha corregido en Sylius/PayPalPlugin 1.2.4 y 1.3.1. Si los usuarios no pueden actualizar, pueden anular la ruta sylius_paypal_plugin_pay_with_paypal_form y cambiar sus parámetros de URL a (por ejemplo) {orderToken}/{paymentId}, luego anular el servicio Sylius\PayPalPlugin\Controller\PayWithPayPalFormAction para operar con el pago obtenido del repositorio mediante estos dos valores. Esto también requeriría el uso de un método de repositorio personalizado. Además, se podría anular la plantilla @SyliusPayPalPlugin/payWithPaypal.html.twig para añadir contingencias: la línea ['SCA_ALWAYS'] en la llamada a la función hostedFields.submit(...) (línea 421). Luego, esto tendría que manejarse en la función callback.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub, Inc.

Reservar

2021-09-15

Divulgación

2021-10-06

Moderación

aceptado

Artículo

VDB-183863

CPE

listo

EPSS

0.01493

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!