CVE-2021-41120

Versões do Sylius/PayPalPlugin anteriores à 1.2.4

Versões do Sylius/PayPalPlugin anteriores à 1.3.1

A URL da página de pagamento gerada após a finalização da compra foi criada com um ID de pagamento autoincrementado (/pay-with-paypal/{id}) e, portanto, era fácil de prever. O problema é que o formulário de cartão de crédito possui um campo “titular do cartão de crédito” pré-preenchido com o nome e sobrenome do cliente, o que pode levar à exposição de informações de identificação pessoal. Além disso, o formulário mencionado não exigia autenticação.

Para versões anteriores à 1.2.4, atualize para a versão 1.2.4 ou posterior.

Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 ou posterior.

Como solução temporária, considere substituir a rota sylius paypal plugin pay with paypal form e alterar seus parâmetros de URL para (por exemplo) {orderToken}/{paymentId}, depois substitua o serviço SyliusPayPalPluginControllerPayWithPayPalFormAction, para operar no pagamento obtido do repositório por esses dois valores. Isso também exigiria o uso de um método de repositório personalizado.

Além disso, seria possível substituir o modelo @SyliusPayPalPlugin/payWithPaypal.html.twig para adicionar a linha contingencies: [‘SCA ALWAYS’] na chamada da função hostedFields.submit(...) (linha 421). Isso teria então de ser tratado na função de retorno de chamada.