Bug en módulos de servired (Caja Madrid,La Caixa, Bancaja,....)
Módulos afectados:
Los módulos afectados está en la zona de contribuciones de oscommerce.com. Y son por lo menos:

http://www.oscommerce.com/community/contributions,4715
http://www.oscommerce.com/community/contributions,5082
http://www.oscommerce.com/community/contributions,4748

Descripción:

Un cliente de la tienda puede completar el pedido cómo si lo hubiese pagado a través de este módulo, sin ni siquiera haber introducido el número de tarjeta.

Causa:

En el léeme del módulo se pide realizar la siguiente modificación en el checkout_process.php:

Cambiar la linia

// load the before_process function from the payment modules
$payment_modules->before_process();


por


// Añadir una cláusula por cada idioma!!
if ( ($order->info['payment_method']!="Credit card") &&
($order->info['payment_method']!="Tarjeta de crédito") )
{
// load the before_process function from the payment modules
$payment_modules->before_process();
}


Esto provoca que si se selecciona este módulo de pago no se ejecutará el método before_process() , que es el que debería de validar que el pago realmente se ha realizado antes de procesarlo.

¿Cómo saber si mi tienda está afectada?:

Si sospecha que tiene alguno de estos módulos instalado puede mirar si está afectado siguiendo los pasos:
  1. Añadir productos a la cesta y pulsar en realizar pedido.
  2. Seleccionar cualquier método de envío y "Tarjeta de crédito" como método de pago (o el correspondiente al módulo en cuestión).
  3. En la pantalla de confirmación, en lugar de pulsar el boron "Confirmar" modificamos la url que aparece en la barra de direcciones del navegador cambiando ".../checkout_confirmation.php" por ".../checkout_process.php"
  4. El módulo afectado procesará el pedido como si se hubiese pagado realmente.
La gravedad del asunto reside en que en la administración no hay manera de diferenciar que pedidos se han pagado realmente o se han "suplantado", tendríamos que cotejar los datos de la administración con los de La Caixa .

Si por mala suerte o malicia del "atacante" coinciden en el tiempo pedidos reales y suplantados, y son de importes similares, el vendedor estaría en un verdadero aprieto.

(Actualizado)
Solución:

Se ha publicado ya una versión actualizada del módulo.