El CIP es la clave de encriptación necesaria para generar una firma válida por lo que tiene que ser SECRETA.

En el módulo se muestra el CIP al ver el código fuente en un input hidden, por lo que por seguridad convendría eliminar la linea:
$process_button_string.=tep_draw_hidden_field('cip ',MODULE_PAYMENT_CAJARURAL_CIP);

De lo contratio cualquiera podría generar una firma váilda con valores falsos, manipulando el importe a pagar por ejemplo.


More...