Fix al grave BUG en Paypal/TPVs en osCommerce

Hace meses atrás detectamos el aumento del uso de un grave bug que tiene osCommerce y que se ha venido explotando exponencialmente.

Se trata del bug denominado «Comprar sin Pagar» donde el nombre indica claramente, los pedidos que se saltan o emulan el pago de un tpv en Servired, paypal, 4b y similares. Llevamos casi 3 semanas hasta que hemos desarrollado el bugfix para dicho error y evitar así que algún indeseable entre en nuestra tienda y emule un pedido real con tarjeta o paypal, y se le envíe el pedido sin haberlo pagado antes (Si eres un poco cauto revisarás 1 por 1 los pedidos que hayan sido ingresados, pero para altos volúmenes de pedidos esto es un problema muy serio).

Como funciona el BUG:

  1. Llenamos nuestro carrito de productos.
  2. Nos logueamos o registramos en la tienda.
  3. Elegimos nuestro método de envío.
  4. Elegimos el metodo de envío previo pago (Paypal, TPV servired, 4b, ceca)
  5. Llegamos a la confirmación del pedido.
  6. Cambiamos el nombre del archivo de checkout_confirmation.php a checkout_process.php
  7. Le damos a enter en la misma barra.
  8. Y voilá pedido confirmado y supuestamente pagado.

bug-fix oscommerce

El bug no se soluciona con solo cambiar el nombre del archivo del checkout_process.php ya que seleccionando métodos que no son previo pago podemos averiguar rápidamente como se llama el archivo que procesa el pedido (Boton derecho en continuar del confirmation). Los tpv servired por ejemplo u otros como CECA y 4b, tienen sistemas donde este bug no se refleja mediante firmas, pero se saltan facilmente de otras maneras mediante GET, donde nuestro bugfix también las soluciona.

Si sufres este problema y necesitas darle solución no dudes en contactar con nosotros en info@hostienda.com

× Habla conmigo