Zales0123

**Nome do software vulnerável e versões afetadas** Versões do Sylius/PayPalPlugin anteriores à 1.2.4 Versões do Sylius/PayPalPlugin anteriores à 1.3.1 **Descrição** A URL da página de pagamento gerada após a finalização da compra foi criada com um ID de pagamento autoincrementado (`/pay-with-paypal/{id}`) e, portanto, era fácil de prever. O problema é que o formulário de cartão de crédito possui um campo “titular do cartão de crédito” pré-preenchido com o nome e sobrenome do cliente, o que pode levar à exposição de informações de identificação pessoal. Além disso, o formulário mencionado não exigia autenticação. **Recomendações** Para versões anteriores à 1.2.4, atualize para a versão 1.2.4 ou posterior. Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 ou posterior. Como solução temporária, considere substituir a rota `sylius paypal plugin pay with paypal form` e alterar seus parâmetros de URL para (por exemplo) `{orderToken}/{paymentId}`, depois substitua o serviço `SyliusPayPalPluginControllerPayWithPayPalFormAction`, para operar no pagamento obtido do repositório por esses dois valores. Isso também exigiria o uso de um método de repositório personalizado. Além disso, seria possível substituir o modelo `@SyliusPayPalPlugin/payWithPaypal.html.twig` para adicionar a linha `contingencies: [‘SCA ALWAYS’]` na chamada da função `hostedFields.submit(...)` (linha 421). Isso teria então de ser tratado na função de retorno de chamada.