Критична вразливість RCE в пакеті goodoneuz/pay-uz Laravel (CVE-2026-31843)
Критична вразливість у пакеті goodoneuz/pay-uz Laravel дозволяє віддалене виконання коду без автентифікації. Рекомендується оновлення та обмеження доступу.
- CVSS
- 10.0 CRITICAL
- EPSS
- 77.68%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У пакеті goodoneuz/pay-uz Laravel (версії до 2.2.24 включно) виявлено критичну вразливість в ендпоінті /payment/api/editable/update, що дозволяє неавторизованим зловмисникам перезаписувати PHP-файли платіжних хуків. Це призводить до віддаленого виконання коду через відсутність автентифікації та небезпечне записування користувацьких даних у виконувані файли.
Бізнес-вплив
Вразливість дозволяє віддаленим атакам без облікових даних виконувати довільний код на сервері, що може призвести до компрометації додатку, викрадення даних або порушення роботи платіжної системи. Власники інфраструктури повинні розглянути ризики, пов’язані з експлуатацією цієї вразливості, особливо якщо використовується уразливий пакет.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень пакету goodoneuz/pay-uz від постачальника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до вразливого ендпоінту, впровадити автентифікацію та провести аудит логів на предмет підозрілої активності. Також варто розглянути тимчасове відключення функціоналу, що використовує цей ендпоінт, до усунення вразливості.