Geekhack

**Nome do software vulnerável e versões afetadas** Plugin CardGate Payments para o WooCommerce até a versão 3.1.15 **Descrição** O problema está relacionado à falta de autenticação de origem na função de processamento de callback IPN no arquivo cardgate/cardgate.php. Isso permite que um invasor altere remotamente configurações críticas do plugin, como `ID do comerciante` e `chave secreta`, e contorne o processo de pagamento. Por exemplo, um invasor pode falsificar o status de um pedido enviando manualmente uma solicitação de callback IPN com uma assinatura válida, mas sem pagamento real, e/ou receber todos os pagamentos subsequentes. **Recomendações** Para o plugin CardGate Payments para WooCommerce até a versão 3.1.15, atualize para uma versão posterior à 3.1.15 para resolver o problema. Como solução temporária, considere restringir o acesso à função de processamento de callback IPN em cardgate/cardgate.php para minimizar o risco de exploração. Evite usar a solicitação de callback IPN com uma assinatura válida, mas sem pagamento real, até que o problema seja resolvido.

Name of the Vulnerable Software and Affected Versions: GloBee plugin versions prior to 1.1.2 Description: The issue arises from the mishandling of IPN messages by the GloBee plugin. Recommendations: For versions prior to 1.1.2, update to version 1.1.2 or later to resolve the issue.