CVE-2026-5234

Name of the Vulnerable Software and Affected Versions LatePoint versões anteriores a 5.3.3

Description Uma Referência Direta a Objeto Insegura existe porque a função OsStripeConnectController::create payment intent for transaction() está registrada como uma ação pública que não requer autenticação. O sistema carrega faturas usando valores de invoice id inteiros sequenciais sem verificar a propriedade ou exigir uma chave de acesso. Isso permite que invasores não autenticados enumerem IDs de faturas válidos por meio de mensagens de erro e criem registros de intenção de transação não autorizados contendo dados financeiros sensíveis, incluindo invoice id, order id, customer id e charge amount. Além disso, em sites que utilizam Stripe Connect, a resposta vaza tokens payment intent client secret, valores de transaction intent key e valores de pagamento de qualquer fatura.

Recommendations Atualize para uma versão posterior a 5.3.2.