UNKNOWNCVE-2026-33661
CVE-2026-33661: WeChat Pay - Bypass de verificación de firma en yansongda/pay
Plataforma
php
Componente
yansongda/pay
Corregido en
3.7.20
La vulnerabilidad CVE-2026-33661 en yansongda/pay permite el bypass de la verificación de firma en las versiones anteriores o iguales a la v3.7.9. Esto permite a los atacantes forjar notificaciones de pago. El impacto es marcar pedidos como pagados sin pago real. La versión 3.7.20 incluye la solución.
Cómo corregirlo
Actualice la biblioteca Pay a la versión 3.7.20 o superior. Esta versión corrige la vulnerabilidad de omisión de la verificación de la firma al usar 'localhost' en el encabezado Host. La actualización asegura que las notificaciones de pago de WeChat Pay se verifiquen correctamente.
Preguntas frecuentes
¿Qué es CVE-2026-33661?
Es un bypass de verificación de firma en yansongda/pay que permite forjar notificaciones de pago.
¿Soy afectado por CVE-2026-33661?
Si usas yansongda/pay en una versión anterior o igual a la v3.7.9, eres vulnerable.
¿Cómo puedo solucionar CVE-2026-33661?
Actualiza a la versión 3.7.20 o superior de yansongda/pay para mitigar la vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis