goodoneuz/pay-uz Laravel 包 (<= 2.2.24) 在 /payment/api/editable/update 接口中存在一个 CRITICAL 漏洞，允许未认证的攻击者覆盖现有的 PHP 支付钩子文件。该接口通过 Route::any() 公开，且未启用身份验证中间件，从而无需凭证即可进行远程访问。用户控制的输入直接写入到可执行的 PHP 文件中使用 file_put_contents()。这些文件随后在正常的支付处理过程中通过 require() 执行。

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞通过覆盖 PHP 支付钩子文件来执行任意代码。这些文件在正常的支付处理流程中会被 require() 执行，这意味着攻击者可以完全控制应用程序的行为。攻击者可以窃取敏感数据，例如支付信息和用户凭据，或者利用该漏洞进行横向移动，攻击整个网络。由于该接口没有身份验证机制，攻击者无需任何凭据即可利用此漏洞，使得攻击的难度大大降低。类似这种通过文件覆盖执行恶意代码的攻击模式，在其他 PHP 应用程序中也曾被观察到。

Applications utilizing the goodoneuz/pay-uz Laravel package in production environments are at significant risk. Shared hosting environments where users have limited control over their application's configuration are particularly vulnerable, as attackers may be able to exploit this vulnerability through other users' installations of the package.

• laravel / server:

grep -r 'file_put_contents($_SERVER["DOCUMENT_ROOT"]' /var/www/html/*

• generic web:

curl -I <your_laravel_app_url>/payment/api/editable/update

Check the response headers for any unusual or unexpected content. • generic web:

curl -X POST -d 'malicious_code' <your_laravel_app_url>/payment/api/editable/update

Monitor for any unexpected file modifications in the application's payment hook directory.

1. 2026-04-16Disclosure

   disclosure

1. 已保留2026-03-09
2. 发布日期2026-04-16
3. 修改日期2026-04-17
4. EPSS 更新日期2026-04-24

为了缓解此漏洞，建议立即升级到最新版本的 pay-uz 包。如果无法立即升级，可以考虑以下临时缓解措施：首先，确保 Laravel 应用程序的路由配置中，/payment/api/editable/update 接口添加了身份验证中间件，限制对该接口的访问。其次，审查应用程序的支付钩子文件，确保其内容没有被篡改。如果发现可疑文件，应立即删除并恢复到原始状态。最后，使用 Web 应用防火墙 (WAF) 或代理服务器来过滤对该接口的请求，阻止恶意代码的上传。检测方面，可以监控支付钩子文件的修改时间，以及应用程序的日志文件，查找可疑的 PHP 代码执行行为。