goodoneuz/pay-uz Laravel パッケージ (<= 2.2.24) は、/payment/api/editable/update エンドポイントに重大な脆弱性を含んでいます。認証されていない攻撃者が既存の PHP 決済フックファイルを上書きできる可能性があります。このエンドポイントは、認証ミドルウェアなしで Route::any() を介して公開されており、資格情報なしでリモートアクセスを可能にします。ユーザーが制御する入力が file_put_contents() を使用して直接実行可能な PHP ファイルに書き込まれます。これらのファイルは、通常の決済処理中に require() を介して後で実行されます。

この脆弱性は、認証されていない攻撃者がLaravelアプリケーション上で任意のコードを実行することを可能にします。攻撃者は、/payment/api/editable/updateエンドポイントに悪意のあるPHPコードを送信することで、決済フックファイルを上書きできます。これらのファイルは、通常、決済処理の実行時にrequire()関数によって読み込まれるため、攻撃者はアプリケーションの制御を完全に奪うことができます。この脆弱性の悪用は、機密情報の窃取、データの改ざん、さらにはサーバー全体の制御奪取につながる可能性があります。類似の脆弱性は、PHPアプリケーションにおけるファイルアップロード機能の不適切な実装によって発生することがあります。

Applications utilizing the goodoneuz/pay-uz Laravel package in production environments are at significant risk. Shared hosting environments where users have limited control over their application's configuration are particularly vulnerable, as attackers may be able to exploit this vulnerability through other users' installations of the package.

• laravel / server:

grep -r 'file_put_contents($_SERVER["DOCUMENT_ROOT"]' /var/www/html/*

• generic web:

curl -I <your_laravel_app_url>/payment/api/editable/update

Check the response headers for any unusual or unexpected content. • generic web:

curl -X POST -d 'malicious_code' <your_laravel_app_url>/payment/api/editable/update

Monitor for any unexpected file modifications in the application's payment hook directory.

1. 2026-04-16Disclosure

   disclosure

1. 予約済み2026-03-09
2. 公開日2026-04-16
3. 更新日2026-04-17
4. EPSS 更新日2026-04-24

この脆弱性への最も効果的な対策は、Laravel Pay-UZパッケージをバージョン2.2.25以降にアップデートすることです。アップデートがすぐに利用できない場合、WAF（Web Application Firewall）を使用して/payment/api/editable/updateエンドポイントへのアクセスをブロックするか、認証を必須とするミドルウェアを追加することで、攻撃のリスクを軽減できます。また、ファイルアップロード機能に対する入力検証を強化し、アップロードされるファイルの拡張子や内容を厳密にチェックすることも有効です。アップデート後、決済処理が正常に機能することを確認してください。