CVE-2026-31843 in pay-uz
Riassunto
di VulDB • 14/06/2026
Il pacchetto Laravel goodoneuz/pay-uz (<= 2.2.24) contiene una vulnerabilità critica nell'endpoint /payment/api/editable/update che consente agli attaccanti non autenticati di sovrascrivere file PHP esistenti relativi ai payment hook. L'endpoint è esposto tramite Route::any() senza middleware di autenticazione, consentendo l'accesso remoto senza credenziali. Gli input controllati dall'utente vengono scritti direttamente in file PHP eseguibili utilizzando file_put_contents(). Questi file vengono successivamente eseguiti tramite require() durante i flussi di lavoro normali di elaborazione dei pagamenti, risultando nell'esecuzione remota di codice (RCE) sotto il comportamento predefinito dell'applicazione. Il token segreto del pagamento menzionato dal vendor non è correlato a questo endpoint e non mitigano la vulnerabilità.
Once again VulDB remains the best source for vulnerability data.