Pamil

**Nome do software vulnerável e versões afetadas** Versões do Sylius anteriores à 1.9.5 e à 1.10.0-RC.1 **Descrição** O problema está relacionado à exposição de certos detalhes de pedidos, incluindo ID do pedido, número do pedido, total de itens e valor do token, a usuários não autorizados. Essas informações, embora não sejam pessoais, podem ser usadas para ataques sociotécnicos ou para expor detalhes sobre a situação da loja a terceiros. Informações adicionais, como o número de itens no carrinho e a data de envio, também podem ficar acessíveis se a vulnerabilidade for explorada adequadamente. **Recomendações** Para versões do Sylius anteriores à 1.9.5, atualize para a versão 1.9.5 ou posterior. Para versões do Sylius anteriores à 1.10.0-RC.1, atualize para a versão 1.10.0-RC.1 ou posterior. Como solução temporária, considere ocultar os endpoints problemáticos atrás de um firewall para usuários não conectados, adicionando a configuração necessária em `config/packages/security.yaml`. Como alternativa, decore o `SyliusBundleApiBundleDoctrineQueryCollectionExtensionOrdersByLoggedInUserExtension` e lance uma `SymfonyComponentSecurityCoreExceptionAccessDeniedException` se a classe for executada para um usuário não autorizado.

**Nome do software vulnerável e versões afetadas** Sylius ResourceBundle versões anteriores à 1.3.13 Sylius ResourceBundle versões 1.3.0 a 1.3.12 Sylius ResourceBundle versões 1.4.0 a 1.4.5 Versões 1.5.0 do Sylius ResourceBundle Versões 1.6.0 a 1.6.2 do Sylius ResourceBundle **Descrição** O problema decorre do fato de o Sylius ResourceBundle aceitar e utilizar quaisquer grupos de serialização passados por meio de um cabeçalho HTTP, o que pode levar à exposição de dados ao usar um grupo de serialização não pretendido. Por exemplo, isso poderia fazer com que a API da Loja utilizasse um grupo mais permissivo da API de Administração. Qualquer pessoa que exponha uma API com o controlador do ResourceBundle é afetada. A vulnerabilidade também envolve a capacidade de alternar canais por meio do parâmetro GET ` channel code` em ambientes de produção devido a um problema de configuração. **Recomendações** Para as versões do Sylius ResourceBundle anteriores à 1.3.13, atualize para a versão 1.3.13 ou mais recente. Para as versões do Sylius ResourceBundle de 1.3.0 a 1.3.12, atualize para a versão 1.3.13 ou mais recente. Para as versões do Sylius ResourceBundle de 1.4.0 a 1.4.5, atualize para a versão 1.4.6 ou mais recente. Para a versão 1.5.0 do Sylius ResourceBundle, atualize para a versão 1.5.1 ou mais recente. Para as versões 1.6.0 a 1.6.2 do Sylius ResourceBundle, atualize para a versão 1.6.3 ou mais recente. Como solução alternativa temporária para versões não suportadas, considere adicionar a configuração `sylius channel: debug: false` para impedir que o recurso de depuração seja ativado. Serviço `sylius.resource controller.request configuration fact

**Name of the Vulnerable Software and Affected Versions** Sylius versions prior to 1.3.14 Sylius versions prior to 1.4.10 Sylius versions prior to 1.5.7 Sylius versions prior to 1.6.3 **Description** In affected versions of Sylius, exception messages from internal exceptions, such as database exceptions, are wrapped by `SymfonyComponentSecurityCoreExceptionAuthenticationServiceException` and propagated through the system to the UI. This may cause some internal system information to leak and be visible to the customer. A validation message with the exception details will be presented to the user when they try to log into the shop. **Recommendations** For Sylius versions prior to 1.3.14, update to version 1.3.14 or later. For Sylius versions prior to 1.4.10, update to version 1.4.10 or later. For Sylius versions prior to 1.5.7, update to version 1.5.7 or later. For Sylius versions prior to 1.6.3, update to version 1.6.3 or later. As a temporary workaround, override the `src/Sylius/Bundle/UiBundle/Resources/views/Security/ login.html.twig` file and replace lines with the provided code to prevent exception details from being displayed to the user.