CVE-2026-31843 in pay-uz
요약
\~에 의해 VulDB • 2026. 05. 20.
goodoneuz/pay-uz Laravel 패키지(<= 2.2.24)는 /payment/api/editable/update 엔드포인트에서 치명적인 취약점을 포함하고 있으며, 이를 통해 인증되지 않은 공격자가 기존 PHP 결제 훅 파일을 덮어쓸 수 있습니다. 이 엔드포인트는 인증 미들웨어 없이 Route::any()를 통해 노출되어 자격 증명 없이 원격 접근이 가능합니다. 사용자 제어 입력이 file_put_contents()를 사용하여 실행 가능한 PHP 파일에 직접 작성됩니다. 이러한 파일은 정상적인 결제 처리 워크플로우 중 require()를 통해 나중에 실행되어 기본 애플리케이션 동작 하에서 원격 코드 실행(RCE)을 초래합니다. 벤더가 언급한 결제 비밀 토큰은 이 엔드포인트와 무관하며 취약점을 완화하지 않습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.