Plateforme
laravel
Composant
laravel
Corrigé dans
2.2.25
2.2.25
La vulnérabilité CVE-2026-31843 affecte le package Laravel Pay-Uz, versions inférieures ou égales à 2.2.24. Cette faille critique permet à des attaquants non authentifiés d'exécuter du code à distance (RCE) en modifiant des fichiers de hook PHP sensibles. L'exploitation se fait via l'endpoint /payment/api/editable/update, mal configuré et accessible sans authentification, ce qui permet l'écriture directe de code PHP exécutable.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant peut exploiter cette faille pour injecter du code PHP malveillant dans les fichiers de hook de paiement. Ces fichiers sont ensuite exécutés lors du traitement normal des paiements, permettant à l'attaquant de prendre le contrôle de l'application Laravel. Cela peut conduire à la compromission complète du serveur, au vol de données sensibles (informations de paiement, données utilisateur), à la modification des transactions et à l'exécution de commandes arbitraires sur le système. Le manque d'authentification rend l'exploitation particulièrement simple et accessible, augmentant le risque d'attaques à grande échelle.
Cette vulnérabilité est considérée comme critique en raison de sa facilité d'exploitation et de son impact potentiel. Aucune information sur une exploitation active n'est disponible à ce jour, mais la simplicité de l'attaque rend probable son exploitation rapide. La publication de la CVE le 2026-04-16 indique une divulgation publique récente. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités et les forums de sécurité pour détecter d'éventuelles preuves d'exploitation.
Applications utilizing the goodoneuz/pay-uz Laravel package in production environments are at significant risk. Shared hosting environments where users have limited control over their application's configuration are particularly vulnerable, as attackers may be able to exploit this vulnerability through other users' installations of the package.
• laravel / server:
grep -r 'file_put_contents($_SERVER["DOCUMENT_ROOT"]' /var/www/html/*• generic web:
curl -I <your_laravel_app_url>/payment/api/editable/updateCheck the response headers for any unusual or unexpected content. • generic web:
curl -X POST -d 'malicious_code' <your_laravel_app_url>/payment/api/editable/updateMonitor for any unexpected file modifications in the application's payment hook directory.
disclosure
Statut de l'Exploit
EPSS
1.05% (percentile 78%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le package Laravel Pay-Uz vers une version corrigée, dès que disponible. En attendant la mise à jour, il est possible de mettre en place des mesures temporaires. Il est crucial de désactiver ou de restreindre l'accès à l'endpoint /payment/api/editable/update en ajoutant une couche d'authentification robuste (par exemple, un middleware nécessitant une authentification forte). Vérifiez également les fichiers de hook existants pour détecter toute modification suspecte. Enfin, surveillez attentivement les logs de l'application pour détecter des tentatives d'accès non autorisées à cet endpoint.
Actualice el paquete pay-uz a una versión superior a 2.2.24 para mitigar la vulnerabilidad. Esta actualización aborda la falta de autenticación en el endpoint /payment/api/editable/update, previniendo la sobreescritura no autorizada de archivos PHP.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31843 is a critical remote code execution vulnerability in the goodoneuz/pay-uz Laravel package (versions <= 2.2.24) allowing attackers to overwrite PHP files and execute arbitrary code.
You are affected if you are using the goodoneuz/pay-uz Laravel package version 2.2.24 or earlier. Check your package version and upgrade immediately if vulnerable.
Upgrade to the latest version of the goodoneuz/pay-uz Laravel package. If immediate upgrade is not possible, implement temporary WAF rules to restrict access to the vulnerable endpoint.
No active exploitation campaigns have been confirmed at this time, but the high CVSS score and ease of exploitation suggest a high probability of future exploitation.
Refer to the goodoneuz/pay-uz package repository and Laravel's security advisories for the latest information and updates regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.