Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Syliud PayPal (CVE-2025-30152)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/03/2025
Última modificación:
19/03/2025

Descripción

El Syliud PayPal es el complemento del equipo principal de Sylius para la plataforma PayPal Commerce. En versiones anteriores a las 1.6.2, 1.7.2 y 2.0.2, se descubrió una vulnerabilidad que permitía a los usuarios modificar su carrito de compra tras completar el proceso de pago y la autorización del pago. Si un usuario inicia una transacción de PayPal desde la página de un producto o del carrito y luego regresa a la página de resumen del pedido, aún puede manipular el contenido del carrito antes de finalizarlo. Como resultado, el importe del pedido en Sylius puede ser superior al importe real capturado por PayPal, lo que provoca que los comerciantes entreguen productos o servicios sin el pago completo. El problema se ha solucionado en las versiones 1.6.2, 1.7.2, 2.0.2 y posteriores.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información