CVE-2026-31843 in pay-uz정보

요약

\~에 의해 VulDB • 2026. 05. 20.

goodoneuz/pay-uz Laravel 패키지(<= 2.2.24)는 /payment/api/editable/update 엔드포인트에서 치명적인 취약점을 포함하고 있으며, 이를 통해 인증되지 않은 공격자가 기존 PHP 결제 훅 파일을 덮어쓸 수 있습니다. 이 엔드포인트는 인증 미들웨어 없이 Route::any()를 통해 노출되어 자격 증명 없이 원격 접근이 가능합니다. 사용자 제어 입력이 file_put_contents()를 사용하여 실행 가능한 PHP 파일에 직접 작성됩니다. 이러한 파일은 정상적인 결제 처리 워크플로우 중 require()를 통해 나중에 실행되어 기본 애플리케이션 동작 하에서 원격 코드 실행(RCE)을 초래합니다. 벤더가 언급한 결제 비밀 토큰은 이 엔드포인트와 무관하며 취약점을 완화하지 않습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

TuranSec

예약하다

2026. 03. 09.

모더레이션

수락

항목

VDB-357915

EPSS

0.01941

출처

Want to know what is going to be exploited?

We predict KEV entries!