Gutscheinmissbrauch in PrestaShop 1.6.11 möglich

[mario.voigt]

Hallo,

 

wir betreiben einen PrestaShop in Version 1.6.0.11. Wir haben eine böse Missbrauchslücke bzgl. Warenkorb Preisregel (cart rule) festgestellt. Folgendes haben wir gemacht:

 

Eine Warenkorbpreisregel erstellt, mit der alle Kunden aus Österreich kostenfreien Versand ab einem Mindestbestellwert von 150€ erhalten. Natürlich haben wir nach Erstellung die Warenkorbpreisregel gestestet. Prinzipiell funktioniert die Anwendung der Regel gut.

 

Problem jedoch: Ich habe ein neues Kundenkonto angelegt, um einen Testkauf mit der Preisregel auszuführen. Entsprechend habe ich eine Adresse in Österreich erstellt. Danach habe ich einen Warenkorb für mehr als 150€ erstellt und den Gutschein angewendet. Danach habe ich den Warenkorb jedoch nicht gekauft, sondern die Adresse auf eine deutsche Adresse geändert. Danach bin ich wieder zum Warenkorb zurückgesprungen und was ist passiert? Die Preisregel war immer noch angewendet. Das bedeutet, dass Kunden ihre Daten im Kundenbackend solange anpassen können, bis sie eine Kombination aus Preisregeln gefunden haben, die ihnen nicht zulässige Konditionen einbringen.

 

Mit Adresse Österreich:

 

Dann geändert auf Deutschland (hier gilt keine Preisregel):

Edited June 15, 2015 by mario.voigt (see edit history)

[Shad86]

Ich glaube die große Frage ist, wie der Gutschein eingestellt ist.