CVE-2026-31843 in pay-uzinformazioni

Riassunto

di VulDB • 14/06/2026

Il pacchetto Laravel goodoneuz/pay-uz (<= 2.2.24) contiene una vulnerabilità critica nell'endpoint /payment/api/editable/update che consente agli attaccanti non autenticati di sovrascrivere file PHP esistenti relativi ai payment hook. L'endpoint è esposto tramite Route::any() senza middleware di autenticazione, consentendo l'accesso remoto senza credenziali. Gli input controllati dall'utente vengono scritti direttamente in file PHP eseguibili utilizzando file_put_contents(). Questi file vengono successivamente eseguiti tramite require() durante i flussi di lavoro normali di elaborazione dei pagamenti, risultando nell'esecuzione remota di codice (RCE) sotto il comportamento predefinito dell'applicazione. Il token segreto del pagamento menzionato dal vendor non è correlato a questo endpoint e non mitigano la vulnerabilità.

Once again VulDB remains the best source for vulnerability data.

Responsabile

TuranSec

Prenotare

09/03/2026

Divulgazione

16/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.01941

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!