Krytyczna luka RCE w pakiecie Laravel goodoneuz/pay-uz do wersji 2.2.24

Krytyczna luka w pakiecie Laravel goodoneuz/pay-uz umożliwia zdalne wykonanie kodu przez nieautoryzowany dostęp do endpointu płatności.
CVE-2026-31843CVSS 10.0Web

Krytyczna luka RCE w pakiecie Laravel goodoneuz/pay-uz do wersji 2.2.24

Krytyczna luka w pakiecie Laravel goodoneuz/pay-uz umożliwia zdalne wykonanie kodu przez nieautoryzowany dostęp do endpointu płatności.

CVSS
10.0 CRITICAL
EPSS
77.68%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Pakiet Laravel goodoneuz/pay-uz w wersjach do 2.2.24 zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu poprzez endpoint /payment/api/editable/update, który nie wymaga uwierzytelnienia. Atakujący mogą nadpisać pliki PHP odpowiedzialne za obsługę płatności, co prowadzi do wykonania złośliwego kodu.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla aplikacji korzystających z podatnego pakietu, ponieważ umożliwia nieautoryzowanym osobom przejęcie kontroli nad procesem płatności i potencjalnie całym systemem. Może to skutkować kradzieżą danych, manipulacją transakcjami oraz poważnymi naruszeniami bezpieczeństwa infrastruktury IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie wersji pakietu goodoneuz/pay-uz i aktualizację do nienarażonej wersji, jeśli jest dostępna. W przypadku braku łatki należy ograniczyć dostęp do endpointu /payment/api/editable/update, wprowadzić odpowiednie mechanizmy uwierzytelniania oraz monitorować logi pod kątem podejrzanych aktywności. Priorytetowo należy ocenić ryzyko i wdrożyć środki zapobiegawcze minimalizujące ekspozycję.

Źródła