PT-2026-41353 · Vvveb Cms · Vvveb Cms

Publicado

2026-05-15

·

Atualizado

2026-05-15

·

CVE-2026-44826

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Vvveb versões anteriores a 1.0.8.2
Descrição O Vvveb CMS não valida o sinal do parâmetro quantity no endpoint 'cart-add'. Ao enviar um número inteiro negativo, o servidor o processa como um item de linha normal, fazendo com que os cálculos subsequentes de totais de linha, subtotais, impostos e totais gerais tornem-se negativos. Isso permite que o fluxo de checkout aceite um carrinho negativo, resultando em pedidos salvos no banco de dados do comerciante com um total negativo, criando registros onde o comerciante efetivamente deve dinheiro ao cliente.
Recomendações Atualizar para a versão 1.0.8.2.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44826
GHSA-75X2-J47J-MG8J

Produtos afetados

Vvveb Cms