CVE-2026-34429
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
Vvveb przed wersją 1.0.8.1 zawiera podatność na trwałe ataki XSS, umożliwiającą uwierzytelnionym użytkownikom z uprawnieniami do przesyłania i zmiany nazw plików ominięcie walidacji typu MIME poprzez dodanie nagłówka GIF89a do ładunku HTML/JavaScript, a następnie zmianę nazwy pliku na rozszerzenie .html. Pozwala to na wykonanie dowolnego kodu JavaScript w sesji przeglądarki administratora, co może prowadzić do utworzenia kont zapasowych i wgrania złośliwych wtyczek umożliwiających zdalne wykonanie kodu.
Ocena ryzyka
Ryzyko dla organizacji obejmuje przejęcie konta administratora, utworzenie nieautoryzowanych kont oraz zdalne wykonanie kodu na serwerze, co może prowadzić do całkowitej kompromitacji systemu CMS i utraty danych.
Rekomendacja
Należy natychmiast zaktualizować Vvveb do wersji 1.0.8.1 lub nowszej, a także ograniczyć uprawnienia do przesyłania i zmiany nazw plików tylko do zaufanych użytkowników oraz wdrożyć dodatkową walidację rozszerzeń plików po stronie serwera.
Oryginalny opis (angielski, źródło NVD)
Vvveb prior to 1.0.8.1 contains a stored cross-site scripting vulnerability that allows authenticated users with media upload and rename permissions to execute arbitrary JavaScript by bypassing MIME type validation and renaming uploaded files to executable extensions. Attackers can prepend a GIF89a header to HTML/JavaScript payloads to bypass upload validation, rename the file to .html extension, and execute malicious scripts in an administrator's browser session to create backdoor accounts and upload malicious plugins for remote code execution.

