CVE-2026-6257

Name of the Vulnerable Software and Affected Versions Vvveb CMS versão 1.0.8

Description Uma falha de execução remota de código existe na funcionalidade de gerenciamento de mídia. A ausência de uma instrução de retorno no manipulador de renomeação de arquivos permite que atacantes autenticados renomeiem arquivos para extensões bloqueadas, como '.php' ou '.htaccess'. Esta falha de lógica pode ser explorada fazendo o upload de um arquivo de texto e renomeando-o para '.htaccess' para injetar diretivas do Apache que registram tipos MIME executáveis de PHP, seguido pelo upload de outro arquivo e renomeando-o para '.php' para executar comandos arbitrários do sistema operacional como o usuário www-data.

Recommendations Atualize o Vvveb CMS versão 1.0.8 para uma versão mais recente que contenha a correção para este problema.