php · paymenter/paymenterAtenção
paymenter/paymenter: PayPal Webhook Endpoint Vulnerable to SSRF via PAYPAL-CERT-URL Header
The PayPal webhook endpoint `/extensions/paypal/webhook` now processes the `PAYPAL-CERT-URL` HTTP header without validation, allowing attackers to control serve
O que mudou
The PayPal webhook endpoint `/extensions/paypal/webhook` now processes the `PAYPAL-CERT-URL` HTTP header without validation, allowing attackers to control server-side HTTP request destinations.
Quem isso afeta
All installations of paymenter/paymenter using the PayPal webhook endpoint.
O que fazer hoje
Atualize para a versão corrigida mais recente ou aplique uma solução alternativa para validar o cabeçalho `PAYPAL-CERT-URL` contra uma lista de permissões.
A esteira
Coletado→
Auditado→
Redigido→
Publicado