php · shopware/platformAtenção
shopware/platform: Falta de autorização no endpoint /store-api/handle-payment
O endpoint /store-api/handle-payment não possui autorização a nível de objeto, permitindo que um usuário com privilégios baixos acione o pagamento de um pedido
O que mudou
O endpoint /store-api/handle-payment não possui autorização a nível de objeto, permitindo que um usuário com privilégios baixos acione o pagamento de um pedido de outro usuário ao fornecer um orderId estrangeiro.
Quem isso afeta
Todas as instalações do Shopware que usam o endpoint de pagamento da Store API; qualquer usuário externo com contexto de cliente normal ou convidado pode explorar isso.
O que fazer hoje
Aplique o patch que impõe validação de propriedade no /store-api/handle-payment antes de processar o orderId.
A esteira
Coletado→
Auditado→
Redigido→
Publicado