Paypal Plugin 6.1.10: Altes Problem Invalid Form Token (CSRF) tritt wieder massiv auf

Als Warnung an alle die noch Shopware5 einsetzen müssen. Wir hätten das Paypal Plugin aktualisiert von 6.1.3 auf 6.1.10, da die Changelogs eine für uns relevante Änderung enthielten:
PT-13158 - Fehler während des Bestellabschlusses in iOS Web-Views behoben

Leider ist genau das Gegenteil passiert. Während auf 6.1.3 der Fehler mit Invalid Form Token (CSRF) nur sporadisch auftrat haben wir das Problem nun massiv. Quasi alle Bestandskunden, die bereits eine Session offen hatten im Safari Browser können nun ohne Löschen des Browsercaches nicht mehr bestellen. Im Unternehmen sind quasi alle iPhone Benutzer betroffen. Wir haben Sentry im Einsatz und können auch eine Explosion er Issue Zahlen im Live Betrieb bestätigen. Wir müssen temporär darauf regaieren die CSRF Protection zu deaktivieren. Ich hoffe es gibt seitens Shopware hierfür zeitnah eine Lösung.

Ansonsten würde ich allen Shopware5 Usern dringen raten das Update nicht zu machen!!!

Wenn mehr Daten benötigt werden, stehe ich für Rückfragen gerne zur Verfügung.

Beste Grüße
Martin

2 „Gefällt mir“

Hallo,

der Fix beinhaltet lediglich ein Warten von 250 Millisekunden vor dem Redirect zum Check-out, da die iOS-Web-View den Redirect sonst nicht durchführt.

MR: PT-13158 - Fix checkout in ios web view · shopware5/SwagPaymentPayPalUnified@342ead6 · GitHub

Wir haben diesen Fix zusammen mit Idealo und Shopware Händlern vor dem Release getestet. Diese hatten keine Probleme.

Gibt es denn noch andere Shops mit diesem Problem?

Wir können das Problem bestätigen. Seit IOS 18 haben wir das Problem vermehrt und musste das PayPal Plugin daraufhin abschalten.
Wir nutzen derzeit die Mollie Integration für PayPal was uns erstmal wieder etwas Zeit verschafft, bis es hierfür eine Lösung gibt.
Allerdings ist uns der PayPal Express Checkout schon wichtig, welches das Mollie Plugin nicht unterstützt.

Wir haben das gleiche Problem in Kombination mit IOS 18. Gibt es hier inzwischen irgendwelche Lösungsansätze? Macht es Sinn auf eine ältere Pluginversion zurückzugehen?