CVE-2020-25750

Versões do DotPlant2 anteriores a 14/09/2020

Foi descoberta uma falha na classe Pay2PayPayment em payment/Pay2PayPayment.php, onde existe uma vulnerabilidade XXE na função checkResult(). A entrada do usuário ($ POST[‘xml’]) é usada para simplexml load string sem sanitização. Esta falha afeta apenas produtos que não são mais suportados pelo mantenedor.

Para versões anteriores a 14/09/2020, como solução temporária, considere desativar a função checkResult() na classe Pay2PayPayment até que um patch esteja disponível. Restrinja o acesso ao arquivo payment/Pay2PayPayment.php para minimizar o risco de exploração. Evite usar a entrada $ POST[‘xml’] na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.