PT-2022-19502 · Silverstripe · Silverstripe-Omnipay
Lozcalver
·
Publicado
2022-06-06
·
Atualizado
2022-06-17
·
CVE-2022-29254
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
versões do silverstripe-omnipay anteriores à 2.5.2
versões do silverstripe-omnipay anteriores à 3.0.2
versões do silverstripe-omnipay anteriores à 3.1.4
versões do silverstripe-omnipay anteriores à 3.2.1
Descrição
Para um subconjunto de gateways Omnipay, se o identificador de pagamento ou a URL de sucesso forem expostos, é possível que os pagamentos sejam prematuramente marcados como concluídos sem que o pagamento tenha sido efetivado. Esse problema é mitigado pelo fato de que a maioria dos gateways de pagamento oculta essas informações dos usuários. No entanto, alguns bancos emissores oferecem implementações 3DSecure com falhas que podem inadvertidamente expor esses dados.
Recomendações
Para versões anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior.
Para versões anteriores à 3.0.2, atualize para a versão 3.0.2 ou posterior.
Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior.
Para versões anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Silverstripe-Omnipay