Craft Commerce — это платформа электронной коммерции для Craft CMS. В версиях с 4.0.0 по 4.10.2 и с 5.0.0 по 5.5.4 PaymentsController::actionPay раскрывает некоторые данные заказа неаутентифицированным пользователям, когда указан номер заказа и проверка электронной почты не удалась во время анонимного платежа. Ответ об ошибке JSON включает сериализованный объект заказа (заказ), который содержит некоторые конфиденциальные поля, такие как адрес электронной почты клиента, адрес доставки и адрес для выставления счета.
Функция actionPay() внешнего потока платежей извлекает заказы по номеру до того, как авторизация будет полностью применена. Загрузить заказ по номеру. Эта проблема исправлена в версиях 4.11.0 и 5.6.0.
Показать оригинальное описание (EN)
Craft Commerce is an ecommerce platform for Craft CMS. In versions 4.0.0 through 4.10.2 and 5.0.0 through 5.5.4, the PaymentsController::actionPay discloses some order data to unauthenticated users when an order number is provided and the email check fails during an anonymous payment. The JSON error response includes the serialized order object (order), which contains some sensitive fields such as customer email, shipping address, and billing address. The frontend payment flow's actionPay() retrieves orders by number before authorization is fully enforcedLoad order by number. This issue has been fixed in versions 4.11.0 and 5.6.0.
Характеристики атаки
Последствия
Строка CVSS v4.0