php · wwbn/avideoCrítico
wwbn/avideo: Bypass de verificação de assinatura no webhook do Authorize.Net
O manipulador de webhook do Authorize.
O que mudou
O manipulador de webhook do Authorize.Net em plugin/AuthorizeNet/webhook.php possui uma falha na verificação de assinatura que permite a falsificação de requisições com valores arbitrários de pagamento e IDs de usuário alvo.
Quem isso afeta
Todas as instâncias do AVideo que utilizam o plugin de pagamento Authorize.Net.
O que fazer hoje
Aplique as correções recomendadas: rejeite webhooks com assinaturas inválidas incondicionalmente, use valores obtidos via API como autoritativos e verifique isApproved antes de processar o pagamento.
A esteira
Coletado→
Auditado→
Redigido→
Publicado