Krytyczna luka RCE w pakiecie Laravel goodoneuz/pay-uz do wersji 2.2.24
Krytyczna luka w pakiecie Laravel goodoneuz/pay-uz umożliwia zdalne wykonanie kodu przez nieautoryzowany dostęp do endpointu płatności.
- CVSS
- 10.0 CRITICAL
- EPSS
- 77.68%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Pakiet Laravel goodoneuz/pay-uz w wersjach do 2.2.24 zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu poprzez endpoint /payment/api/editable/update, który nie wymaga uwierzytelnienia. Atakujący mogą nadpisać pliki PHP odpowiedzialne za obsługę płatności, co prowadzi do wykonania złośliwego kodu.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla aplikacji korzystających z podatnego pakietu, ponieważ umożliwia nieautoryzowanym osobom przejęcie kontroli nad procesem płatności i potencjalnie całym systemem. Może to skutkować kradzieżą danych, manipulacją transakcjami oraz poważnymi naruszeniami bezpieczeństwa infrastruktury IT.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie wersji pakietu goodoneuz/pay-uz i aktualizację do nienarażonej wersji, jeśli jest dostępna. W przypadku braku łatki należy ograniczyć dostęp do endpointu /payment/api/editable/update, wprowadzić odpowiednie mechanizmy uwierzytelniania oraz monitorować logi pod kątem podejrzanych aktywności. Priorytetowo należy ocenić ryzyko i wdrożyć środki zapobiegawcze minimalizujące ekspozycję.