CVE-2020-8819

Plugin CardGate Payments para o WooCommerce até a versão 3.1.15

O problema está relacionado à falta de autenticação de origem na função de processamento de callback IPN no arquivo cardgate/cardgate.php. Isso permite que um invasor altere remotamente configurações críticas do plugin, como ID do comerciante e chave secreta, e contorne o processo de pagamento. Por exemplo, um invasor pode falsificar o status de um pedido enviando manualmente uma solicitação de callback IPN com uma assinatura válida, mas sem pagamento real, e/ou receber todos os pagamentos subsequentes.

Para o plugin CardGate Payments para WooCommerce até a versão 3.1.15, atualize para uma versão posterior à 3.1.15 para resolver o problema. Como solução temporária, considere restringir o acesso à função de processamento de callback IPN em cardgate/cardgate.php para minimizar o risco de exploração. Evite usar a solicitação de callback IPN com uma assinatura válida, mas sem pagamento real, até que o problema seja resolvido.