Plataforma
laravel
Componente
laravel
Corrigido em
2.2.25
2.2.25
Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no pacote Laravel goodoneuz/pay-uz em versões até 2.2.24. Esta falha permite que atacantes não autenticados sobrescrevam arquivos PHP utilizados no processamento de pagamentos, comprometendo a integridade do sistema. A vulnerabilidade reside no endpoint /payment/api/editable/update, que carece de autenticação adequada, expondo-o a acessos remotos sem credenciais.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante remoto execute código arbitrário no servidor onde a aplicação Laravel está hospedada. Isso ocorre porque o endpoint vulnerável permite a escrita direta de dados controlados pelo usuário em arquivos PHP executáveis. Esses arquivos são posteriormente carregados e executados durante o fluxo normal de processamento de pagamentos, concedendo ao atacante controle total sobre a aplicação. O impacto é severo, podendo levar à exfiltração de dados sensíveis, modificação de dados, ou até mesmo à tomada de controle completa do servidor. A ausência de autenticação torna a exploração trivial, aumentando significativamente o risco de comprometimento.
A vulnerabilidade foi divulgada em 16 de abril de 2026. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS score. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a sua facilidade de exploração e o potencial impacto. É crucial implementar as medidas de mitigação o mais rápido possível.
Applications utilizing the goodoneuz/pay-uz Laravel package in production environments are at significant risk. Shared hosting environments where users have limited control over their application's configuration are particularly vulnerable, as attackers may be able to exploit this vulnerability through other users' installations of the package.
• laravel / server:
grep -r 'file_put_contents($_SERVER["DOCUMENT_ROOT"]' /var/www/html/*• generic web:
curl -I <your_laravel_app_url>/payment/api/editable/updateCheck the response headers for any unusual or unexpected content. • generic web:
curl -X POST -d 'malicious_code' <your_laravel_app_url>/payment/api/editable/updateMonitor for any unexpected file modifications in the application's payment hook directory.
disclosure
Status do Exploit
EPSS
1.05% (percentil 78%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o pacote goodoneuz/pay-uz para uma versão corrigida, assim que disponível. Enquanto a atualização não for possível, implemente controles de acesso rigorosos no endpoint /payment/api/editable/update. Isso pode ser feito adicionando middleware de autenticação robusto que exija credenciais válidas para acessar o endpoint. Considere também a implementação de uma Web Application Firewall (WAF) para bloquear requisições maliciosas direcionadas a este endpoint. Monitore os logs do servidor em busca de tentativas de acesso não autorizado ao endpoint e atividades suspeitas relacionadas ao processamento de pagamentos. Após a atualização, confirme a correção da vulnerabilidade verificando se o endpoint /payment/api/editable/update requer autenticação.
Atualize o pacote pay-uz para uma versão superior a 2.2.24 para mitigar a vulnerabilidade. Esta atualização aborda a falta de autenticação no endpoint /payment/api/editable/update, prevenindo a sobrescrita não autorizada de arquivos PHP.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-31843 is a critical remote code execution vulnerability in the goodoneuz/pay-uz Laravel package (versions <= 2.2.24) allowing attackers to overwrite PHP files and execute arbitrary code.
You are affected if you are using the goodoneuz/pay-uz Laravel package version 2.2.24 or earlier. Check your package version and upgrade immediately if vulnerable.
Upgrade to the latest version of the goodoneuz/pay-uz Laravel package. If immediate upgrade is not possible, implement temporary WAF rules to restrict access to the vulnerable endpoint.
No active exploitation campaigns have been confirmed at this time, but the high CVSS score and ease of exploitation suggest a high probability of future exploitation.
Refer to the goodoneuz/pay-uz package repository and Laravel's security advisories for the latest information and updates regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.