CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-39918

Critical
Published: Translated: NVD NIST

Summary

Vvveb w wersjach przed 1.0.8.1 zawiera podatność na wstrzykiwanie kodu w punkcie instalacji, gdzie parametr POST subdir jest zapisywany do pliku konfiguracyjnego env.php bez odpowiedniego oczyszczania. Atakujący mogą wstrzykiwać dowolny kod PHP, co prowadzi do zdalnego wykonania kodu bez uwierzytelnienia jako użytkownik serwera WWW.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone środowisko może być narażone na różnorodne ataki i wycieki danych.

Recommendation

Zaleca się aktualizację Vvveb do wersji 1.0.8.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji oraz wdrożyć odpowiednie mechanizmy zabezpieczające przed wstrzykiwaniem kodu.

Original NVD description (English source)

Vvveb prior to 1.0.8.1 contains a code injection vulnerability in the installation endpoint where the subdir POST parameter is written unsanitized into the env.php configuration file without escaping or validation. Attackers can inject arbitrary PHP code by breaking out of the string context in the define statement to achieve unauthenticated remote code execution as the web server user.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS