Kennyadsl

**Nome do software vulnerável e versões afetadas** Versões do Solidus anteriores à 2.8.6 Versões do Solidus anteriores à 2.9.6 Versões do Solidus anteriores à 2.10.2 **Descrição** Esta vulnerabilidade permite que um cliente mal-intencionado altere o endereço do pedido sem acionar as validações de endereço, podendo alterar os custos de envio. Todas as lojas com pelo menos duas zonas de envio e custos de envio diferentes por zona são afetadas. O problema decorre da estrutura dos atributos permitidos no checkout, que são aplicados em todo o processo de checkout. **Recomendações** Para versões anteriores à 2.8.6, atualize para a versão 2.8.6 ou posterior. Para versões anteriores à 2.9.6, atualize para a versão 2.9.6 ou posterior. Para versões anteriores à 2.10.2, atualize para a versão 2.10.2 ou posterior. Como solução alternativa temporária, se não for possível atualizar para uma versão corrigida compatível, considere usar o gist fornecido para corrigir a loja. Restrinja o acesso ao parâmetro `ship address attributes` no endpoint da API `/checkout/update` para minimizar o risco de exploração. Evite usar o parâmetro `ship address attributes` no endpoint da API afetado até que o problema seja resolvido.