Tianluov

Nome do Software Vulnerável e Versões Afetadas Craft Commerce versões anteriores a 4.11.0 Craft Commerce versões anteriores a 5.6.0 Descrição A função `actionPay()` no 'PaymentsController' divulga dados de pedidos a usuários não autenticados. Isso ocorre quando um número de pedido é fornecido e a verificação de e-mail falha durante um pagamento anônimo. A resposta de erro JSON resultante contém o objeto de pedido serializado `order`, que inclui informações sensíveis, como e-mail do cliente, endereço de envio e endereço de cobrança. Isso acontece porque a função `actionPay()` recupera pedidos por número antes que a autorização seja totalmente aplicada. Recomendações Atualizar para a versão 4.11.0 para versões anteriores a 4.11.0. Atualizar para a versão 5.6.0 para versões anteriores a 5.6.0. Como medida paliativa temporária, considere restringir o acesso à função `actionPay()`.