CVE-2026-34429

Name of the Vulnerable Software and Affected Versions Vvveb versões anteriores a 1.0.8.1

Description Usuários autenticados com permissões de upload e renomeação de mídia podem executar JavaScript arbitrário ao ignorar a validação do tipo MIME e renomear arquivos carregados para extensões executáveis. Isso é feito prefixando um cabeçalho GIF89a a payloads HTML/JavaScript para burlar a validação de upload e, em seguida, renomeando o arquivo para a extensão '.html'. Isso permite que scripts maliciosos sejam executados na sessão do navegador de um administrador, podendo levar à criação de contas de backdoor e ao upload de plugins maliciosos para execução remota de código.

Recommendations Atualizar para a versão 1.0.8.1 ou posterior.