PT-2026-40944 · Givanz · Vvveb
Basant Kumar
+1
·
Publicado
2026-05-14
·
Atualizado
2026-05-14
·
CVE-2026-41937
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Vvveb versões anteriores a 1.0.8.3
Description
Um problema de upload de arquivo irrestrito existe no endpoint de upload de plugins. Isso permite que usuários com privilégios de super admin executem código PHP arbitrário ao fazer o upload de um arquivo ZIP de plugin malicioso. O ataque envolve a criação de um arquivo ZIP contendo um arquivo
plugin.php com um cabeçalho Slug válido e um arquivo public/index.php contendo código PHP arbitrário. Esse código é executado com as permissões do usuário do servidor web quando acessado por meio de requisições HTTP não autenticadas ao caminho público do plugin.Recommendations
Atualize para a versão 1.0.8.3 ou posterior.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vvveb