PT-2026-33312 · Packagist · Pay-Uz
Publicado
2026-04-16
·
Atualizado
2026-06-25
·
CVE-2026-31843
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Name of the Vulnerable Software and Affected Versions
pay-uz versões anteriores a 2.2.25
Description
O pacote Laravel pay-uz contém uma falha no endpoint '/payment/api/editable/update'. Este endpoint está exposto via Route::any() sem middleware de autenticação, permitindo acesso remoto não autenticado. Entradas controladas pelo usuário são gravadas diretamente em arquivos de hook de pagamento PHP executáveis usando a função
file put contents(). Esses arquivos são posteriormente executados via função require() durante os fluxos normais de processamento de pagamento, o que pode levar à execução remota de código.Recommendations
Atualize para uma versão posterior a 2.2.24.
Como medida paliativa temporária, restrinja o acesso ao endpoint '/payment/api/editable/update' para minimizar o risco de exploração.
Exploit
Correção
RCE
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pay-Uz