633Kh4Ck

**Nome do software vulnerável e versões afetadas** Versões do plugin CardGate Payments até a 2.0.30 para Magento 2 **Descrição** O problema está relacionado à falta de autenticação de origem na função de processamento de callback IPN em Controller/Payment/Callback.php. Isso permite que um invasor substitua remotamente configurações críticas do plugin, como `merchant ID` e `secret key`, e contorne o processo de pagamento. Por exemplo, um invasor pode falsificar o status de um pedido enviando manualmente uma solicitação de callback IPN com uma assinatura válida, mas sem pagamento real, e/ou receber todos os pagamentos subsequentes. **Recomendações** Para versões do plugin CardGate Payments até a 2.0.30, considere desativar a função de processamento de callback IPN em Controller/Payment/Callback.php até que um patch esteja disponível para impedir a substituição remota de configurações críticas do plugin. Restrinja o acesso ao arquivo `Callback.php` para minimizar o risco de exploração. Evite usar a solicitação de callback IPN com uma assinatura válida, mas sem pagamento real, até que o problema seja resolvido.