This plugin exposes HTTP endpoints that trigger Artisan commands (schedule:run, queue:work, shop:subscriptions, shop:payments) on an Azuriom instance. We are especially interested in reports concerning:

• Auth bypass — Any way to call /cron/execute, /cron/queue/execute, or /cron/force-shop without the configured Bearer token (e.g. timing-safe comparison flaws, header injection).
• Signed URL forgery — Predictable or guessable key generation in SettingController that would allow an attacker to derive the secret.
• Command injection — Any vector that lets an attacker control the Artisan command name or arguments dispatched from the controller.
• Mass assignment / privilege escalation — Plugin requests modifying user roles, permissions, or shop state outside the official Azuriom Shop pipeline.
• XSS / CSRF in admin pages — Stored or reflected XSS in the admin views (cron::admin.index).
• Information disclosure — Leaking the Bearer token, stack traces, or environment variables through error responses.

Issues outside this scope (e.g. weaknesses inherent to Azuriom core or Laravel itself) should be reported to the upstream project.

Do not report security vulnerabilities through public GitHub issues.

Instead, please report them via:

• Discord DM to vyrriox: Discord Server
• Or create a private security advisory on GitHub

We will respond within 48 hours and work with you to understand and fix the issue.

Ce plugin expose des endpoints HTTP qui declenchent des commandes Artisan (schedule:run, queue:work, shop:subscriptions, shop:payments) sur une instance Azuriom. Nous attendons en priorite les rapports concernant :

• Contournement d'authentification — Toute methode permettant d'appeler /cron/execute, /cron/queue/execute ou /cron/force-shop sans le Bearer token configure (fuite via timing, injection d'en-tete, etc.).
• Forge d'URL signee — Generation de cle previsible ou devinable dans SettingController permettant a un attaquant de retrouver le secret.
• Injection de commande — Tout vecteur permettant a un attaquant de controler le nom ou les arguments de la commande Artisan dispatchee.
• Mass assignment / escalade de privileges — Requetes du plugin modifiant roles, permissions ou etat boutique en dehors du pipeline officiel Azuriom Shop.
• XSS / CSRF dans les pages admin — XSS stocke ou reflechi dans les vues admin (cron::admin.index).
• Divulgation d'informations — Fuite du Bearer token, de stack traces ou de variables d'environnement dans les reponses d'erreur.

Les failles hors perimetre (faiblesses du noyau Azuriom ou de Laravel) doivent etre remontees au projet amont.

Ne signalez pas les vulnerabilites via les issues GitHub publiques.

Signalez-les via :

• Message prive Discord a vyrriox : Serveur Discord
• Ou creez un avis de securite prive sur GitHub

Nous repondrons sous 48 heures.