CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-19249
https://notcve.org/view.php?id=CVE-2018-19249
The Stripe API v1 allows remote attackers to bypass intended access restrictions by replaying api.stripe.com /v1/tokens XMLHttpRequest data, parsing the response under the object card{}, and reading the cvc_check information if the creation is successful without charging the actual card used in the transaction. La versión v1 de la API Stripe permite a los atacantes remotos omitir las restricciones de accesos planeados repitiendo los datos de api.stripe.com /v1/tokens XMLHttpRequest, analizando la respuesta bajo el objeto "card{}" y leyendo la información "cvc_check" si la creación es exitosa sin cambiar la tarjeta actual que se utiliza en la transacción. • https://fredmooredamian.blogspot.com/2019/01/improper-authentication-on-stripe-api-v1.html • CWE-287: Improper Authentication •