PT-2026-38223 · Vvveb · Vvveb
Basant Kumar
+1
·
Publicado
2026-05-06
·
Atualizado
2026-05-06
·
CVE-2026-41938
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Vvveb versões anteriores a 1.0.8.2
Descrição
Um problema de upload de arquivo irrestrito existe no manipulador de upload de mídia. Usuários autenticados com permissões de upload de mídia podem ignorar as restrições de extensão fazendo o upload de um arquivo
.htaccess para mapear extensões .phtml para o manipulador PHP. Isso permite o upload de um arquivo .phtml contendo código PHP arbitrário, que pode ser executado ao enviar uma requisição HTTP GET não autenticada para o arquivo carregado, resultando em execução remota de código com privilégios do servidor web.Recomendações
Atualize para a versão 1.0.8.2 ou posterior.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vvveb