发布日期：2025-03-17
更新日期：2025-06-03

受影响系统：

Sylius eCommerce PayPal Plugin < 2.0.1
Sylius eCommerce PayPal Plugin < 1.7.1
Sylius eCommerce PayPal Plugin < 1.6.1

描述：

---

CVE(CAN) ID: CVE-2025-29788

PayPal Plugin是Sylius eCommerce开源的一个PayPal商务平台插件。
PayPal Plugin 1.6.1之前版本、1.7.1之前版本和2.0.1之前版本存在假定不可变Web参数外部控制漏洞，该漏洞源于如果用户在启动PayPal Express Checkout流程后修改了购物车中的商品数量，该程序不会收到更新的总金额，攻击者可利用该漏洞故意支付低于实际总订单的金额，导致商家用户因遭受经济损失，并损害支付处理功能的完整性。

<**>

建议：

---

厂商补丁：

Sylius eCommerce
----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/Sylius/PayPalPlugin/commit/31e71b0457e5d887a6c19f8cfabb8b16125ec406

浏览次数：61
严重程度：0（网友投票）