Критична вразливість RCE в пакеті goodoneuz/pay-uz Laravel (CVE-2026-31843)

Критична вразливість у пакеті goodoneuz/pay-uz Laravel дозволяє віддалене виконання коду без автентифікації. Рекомендується оновлення та обмеження доступу.
CVE-2026-31843CVSS 10.0Web

Критична вразливість RCE в пакеті goodoneuz/pay-uz Laravel (CVE-2026-31843)

Критична вразливість у пакеті goodoneuz/pay-uz Laravel дозволяє віддалене виконання коду без автентифікації. Рекомендується оновлення та обмеження доступу.

CVSS
10.0 CRITICAL
EPSS
77.68%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У пакеті goodoneuz/pay-uz Laravel (версії до 2.2.24 включно) виявлено критичну вразливість в ендпоінті /payment/api/editable/update, що дозволяє неавторизованим зловмисникам перезаписувати PHP-файли платіжних хуків. Це призводить до віддаленого виконання коду через відсутність автентифікації та небезпечне записування користувацьких даних у виконувані файли.

Бізнес-вплив

Вразливість дозволяє віддаленим атакам без облікових даних виконувати довільний код на сервері, що може призвести до компрометації додатку, викрадення даних або порушення роботи платіжної системи. Власники інфраструктури повинні розглянути ризики, пов’язані з експлуатацією цієї вразливості, особливо якщо використовується уразливий пакет.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень пакету goodoneuz/pay-uz від постачальника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до вразливого ендпоінту, впровадити автентифікацію та провести аудит логів на предмет підозрілої активності. Також варто розглянути тимчасове відключення функціоналу, що використовує цей ендпоінт, до усунення вразливості.

Джерела