CVE-2021-41120 in paypal-plugininformação

Sumário

de VulDB • 19/06/2026

sylius/paypal-plugin é um plugin PayPal para a plataforma de desenvolvimento Sylius. Nas versões afetadas, a URL para a página de pagamento, gerada após o checkout, era criada com um ID de pagamento incrementado automaticamente (/pay-with-paypal/{id}), tornando-a fácil de prever. O problema é que o formulário do cartão de crédito possui o campo "titular do cartão de crédito" preenchido automaticamente com o nome e sobrenome do Cliente, o que pode levar à exposição de informações de identificação pessoal. Além disso, o formulário mencionado não exigia autenticação. O problema foi corrigido nas versões Sylius/PayPalPlugin 1.2.4 e 1.3.1. Se os usuários não conseguirem atualizar, podem substituir a rota sylius_paypal_plugin_pay_with_paypal_form e alterar seus parâmetros de URL para (por exemplo) {orderToken}/{paymentId}, substituindo então o serviço Sylius\PayPalPlugin\Controller\PayWithPayPalFormAction para operar com o pagamento obtido do repositório por meio desses dois valores. Isso também exigiria o uso de um método de repositório personalizado. Além disso, é possível substituir o modelo @SyliusPayPalPlugin/payWithPaypal.html.twig para adicionar contingências: a linha ['SCA_ALWAYS'] na chamada da função hostedFields.submit(...) (linha 421). Isso precisaria ser tratado no callback da função.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub, Inc.

Reservar

15/09/2021

Divulgação

06/10/2021

Moderação

aceite

Entrada

VDB-183863

CPE

pronto

EPSS

0.01493

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!