Katalog CVE

CVE-2026-34429

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

Vvveb przed wersją 1.0.8.1 zawiera podatność na trwałe ataki XSS, umożliwiającą uwierzytelnionym użytkownikom z uprawnieniami do przesyłania i zmiany nazw plików ominięcie walidacji typu MIME poprzez dodanie nagłówka GIF89a do ładunku HTML/JavaScript, a następnie zmianę nazwy pliku na rozszerzenie .html. Pozwala to na wykonanie dowolnego kodu JavaScript w sesji przeglądarki administratora, co może prowadzić do utworzenia kont zapasowych i wgrania złośliwych wtyczek umożliwiających zdalne wykonanie kodu.

Ocena ryzyka

Ryzyko dla organizacji obejmuje przejęcie konta administratora, utworzenie nieautoryzowanych kont oraz zdalne wykonanie kodu na serwerze, co może prowadzić do całkowitej kompromitacji systemu CMS i utraty danych.

Rekomendacja

Należy natychmiast zaktualizować Vvveb do wersji 1.0.8.1 lub nowszej, a także ograniczyć uprawnienia do przesyłania i zmiany nazw plików tylko do zaufanych użytkowników oraz wdrożyć dodatkową walidację rozszerzeń plików po stronie serwera.

Oryginalny opis (angielski, źródło NVD)

Vvveb prior to 1.0.8.1 contains a stored cross-site scripting vulnerability that allows authenticated users with media upload and rename permissions to execute arbitrary JavaScript by bypassing MIME type validation and renaming uploaded files to executable extensions. Attackers can prepend a GIF89a header to HTML/JavaScript payloads to bypass upload validation, rename the file to .html extension, and execute malicious scripts in an administrator's browser session to create backdoor accounts and upload malicious plugins for remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS