Vulnérabilité: CVE-2020-8818

Un problème a été découvert dans le plugin paiements CardGate par 2.0.30 pour Magento 2. Le manque d’authentification de l’origine dans la fonction de traitement de rappel IPN dans le contrôleur / paiement / Callback.php permet à un attaquant de remplacer à distance les paramètres de plug-ins critiques (ID marchand, clé secrète , etc.) et donc contourner le processus de paiement (par exemple, un spoof état de votre commande en envoyant manuellement une demande de rappel IPN avec une signature valide, mais sans paiement réel) et / ou de recevoir tous les paiements ultérieurs.


https://www.exploit-db.com/exploits/48135
http://packetstormsecurity.com/files/156505/Magento-WooCommerce-CardGate-Payment-Gateway-2.0.30-Bypass.html
https://github.com/cardgate/magento2/blob/715979e54e1a335d78a8c5586f9e9987c3bf94fd/Controller/Payment/Callback.php#L88-L107
https://github.com/cardgate/magento2/issues/54
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8818


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire