Vorige week vonden we een beveiligingslek in de Fooman Pdf Customizer. Bij het onderzoeken van enkele functionaliteiten voor een van onze klanten ontdekten we de volgende bug:
Gastgebruikers kunnen de facturen, verzendingen en creditmemo’s van andere klanten bekijken. De gegevens zijn eenvoudig toegankelijk wanneer iemand de print-URL van zijn ordergegevens bekijkt. (https://webshop.test/sales/guest/printInvoice/invoice_id/*/). Wanneer een klant de asterix naar een ID wijzigt die lager is dan die van hemzelf, worden de gegevens van de bestelling van andere klanten weergegeven. Als je de meest recente factuur bent, kan elke ID onder die van jou worden gecontroleerd.
De bug werd eerst gemeld aan Fooman vanwege het potentiële risico voor klantgegevens. Fooman heeft vandaag een update uitgebracht en nu is het juiste moment om alle andere Magento 2 webshopeigenaars te informeren. Fooman heeft de module zo snel mogelijk bijgewerkt en we raden je ten zeerste aan deze update te installeren.
Als updaten nu geen optie is, wijzig dan de code van de Guest Plugins in de Fooman PDF-customizer om ook de $this->orderViewAuthorization->canView ($invoiceOrder) voor de gefactureerde bestelling te controleren. We hebben ook composer patch gemaakt voor het lek. Patches zijn hier te vinden:
GuestPrintCreditmemo.patch
GuestPrintInvoice.patch
GuestPrintShipment.patch
Het installeren van composer patches wordt hier uitgelegd.
We raden u ten zeerste aan zo snel mogelijk te updaten, aangezien het lek nu openbaar is en zelfs voor niet-ontwikkelaars toegankelijk is.
// For developers we also wrote an English blog about our findings.