प्लेटफ़ॉर्म
laravel
घटक
laravel
में ठीक किया गया
2.2.25
2.2.25
CVE-2026-31843 Laravel Pay-Uz पैकेज में एक गंभीर भेद्यता है, जो संस्करण 2.2.24 और उससे पहले के संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को प्रमाणीकरण के बिना PHP भुगतान हुक फ़ाइलों को ओवरराइट करने की अनुमति देती है, जिससे दूरस्थ कोड निष्पादन (RCE) हो सकता है। 2026-04-16 को प्रकाशित, इस भेद्यता को कम करने के लिए तत्काल अपडेट की आवश्यकता है।
यह भेद्यता हमलावरों को Laravel एप्लिकेशन के भीतर मनमाना कोड निष्पादित करने की अनुमति देती है। /payment/api/editable/update एंडपॉइंट में प्रमाणीकरण की कमी के कारण, कोई भी हमलावर बिना किसी क्रेडेंशियल के इस एंडपॉइंट तक पहुंच सकता है और PHP फ़ाइलों को ओवरराइट कर सकता है। ये फ़ाइलें बाद में सामान्य भुगतान प्रसंस्करण वर्कफ़्लो के दौरान require() फ़ंक्शन के माध्यम से निष्पादित की जाती हैं, जिससे हमलावर एप्लिकेशन के नियंत्रण को प्राप्त कर सकता है। डेटा चोरी, सिस्टम समझौता, और अन्य दुर्भावनापूर्ण गतिविधियाँ संभव हैं। यह भेद्यता Log4Shell जैसी गंभीर भेद्यताओं के समान है, क्योंकि यह प्रमाणीकरण की कमी का फायदा उठाती है और दूरस्थ कोड निष्पादन की अनुमति देती है।
CVE-2026-31843 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है। यह KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों को इस भेद्यता का फायदा उठाने में मदद कर सकते हैं। NVD और CISA द्वारा जारी किए गए अपडेट पर नज़र रखें।
Applications utilizing the goodoneuz/pay-uz Laravel package in production environments are at significant risk. Shared hosting environments where users have limited control over their application's configuration are particularly vulnerable, as attackers may be able to exploit this vulnerability through other users' installations of the package.
• laravel / server:
grep -r 'file_put_contents($_SERVER["DOCUMENT_ROOT"]' /var/www/html/*• generic web:
curl -I <your_laravel_app_url>/payment/api/editable/updateCheck the response headers for any unusual or unexpected content. • generic web:
curl -X POST -d 'malicious_code' <your_laravel_app_url>/payment/api/editable/updateMonitor for any unexpected file modifications in the application's payment hook directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.05% (78% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-31843 को कम करने के लिए, Laravel Pay-Uz पैकेज को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /payment/api/editable/update एंडपॉइंट तक पहुंच को ब्लॉक करें। वैकल्पिक रूप से, इस एंडपॉइंट के लिए प्रमाणीकरण लागू करें। WAF नियमों को इस तरह कॉन्फ़िगर करें कि वे अनधिकृत अनुरोधों को रोकें। यदि संभव हो, तो भुगतान हुक फ़ाइलों के लिए फ़ाइल अनुमतियों को सख्त करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, भुगतान प्रसंस्करण वर्कफ़्लो का परीक्षण करें।
भेद्यता को कम करने के लिए pay-uz पैकेज को 2.2.24 से ऊपर के संस्करण में अपडेट करें। यह अपडेट /payment/api/editable/update एंडपॉइंट पर प्रमाणीकरण की कमी को संबोधित करता है, जिससे अनधिकृत PHP फ़ाइलों को ओवरराइट होने से रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-31843 Laravel Pay-Uz पैकेज में एक गंभीर भेद्यता है जो हमलावरों को प्रमाणीकरण के बिना PHP फ़ाइलों को ओवरराइट करने की अनुमति देती है, जिससे दूरस्थ कोड निष्पादन (RCE) हो सकता है।
यदि आप Laravel Pay-Uz पैकेज के संस्करण 2.2.24 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Laravel Pay-Uz पैकेज को नवीनतम संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो WAF नियमों का उपयोग करके /payment/api/editable/update एंडपॉइंट तक पहुंच को ब्लॉक करें।
CVE-2026-31843 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता के कारण, यह जल्द ही शोषण का लक्ष्य बन सकता है।
आधिकारिक Laravel Pay-Uz सलाहकार के लिए, पैकेज के भंडार या Laravel समुदाय के संसाधनों की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।