CVE-2021-41120 in paypal-plugin
Sumário
de VulDB • 19/06/2026
sylius/paypal-plugin é um plugin PayPal para a plataforma de desenvolvimento Sylius. Nas versões afetadas, a URL para a página de pagamento, gerada após o checkout, era criada com um ID de pagamento incrementado automaticamente (/pay-with-paypal/{id}), tornando-a fácil de prever. O problema é que o formulário do cartão de crédito possui o campo "titular do cartão de crédito" preenchido automaticamente com o nome e sobrenome do Cliente, o que pode levar à exposição de informações de identificação pessoal. Além disso, o formulário mencionado não exigia autenticação. O problema foi corrigido nas versões Sylius/PayPalPlugin 1.2.4 e 1.3.1. Se os usuários não conseguirem atualizar, podem substituir a rota sylius_paypal_plugin_pay_with_paypal_form e alterar seus parâmetros de URL para (por exemplo) {orderToken}/{paymentId}, substituindo então o serviço Sylius\PayPalPlugin\Controller\PayWithPayPalFormAction para operar com o pagamento obtido do repositório por meio desses dois valores. Isso também exigiria o uso de um método de repositório personalizado. Além disso, é possível substituir o modelo @SyliusPayPalPlugin/payWithPaypal.html.twig para adicionar contingências: a linha ['SCA_ALWAYS'] na chamada da função hostedFields.submit(...) (linha 421). Isso precisaria ser tratado no callback da função.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.