PT-2026-33312 · Packagist · Pay-Uz

Publicado

2026-04-16

·

Atualizado

2026-06-25

·

CVE-2026-31843

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Name of the Vulnerable Software and Affected Versions pay-uz versões anteriores a 2.2.25
Description O pacote Laravel pay-uz contém uma falha no endpoint '/payment/api/editable/update'. Este endpoint está exposto via Route::any() sem middleware de autenticação, permitindo acesso remoto não autenticado. Entradas controladas pelo usuário são gravadas diretamente em arquivos de hook de pagamento PHP executáveis usando a função file put contents(). Esses arquivos são posteriormente executados via função require() durante os fluxos normais de processamento de pagamento, o que pode levar à execução remota de código.
Recommendations Atualize para uma versão posterior a 2.2.24. Como medida paliativa temporária, restrinja o acesso ao endpoint '/payment/api/editable/update' para minimizar o risco de exploração.

Exploit

Correção

RCE

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-31843
GHSA-M5WG-CJGH-223J

Produtos afetados

Pay-Uz