CVE-2026-39918
KrytyczneStreszczenie
Vvveb w wersjach przed 1.0.8.1 zawiera podatność na wstrzykiwanie kodu w punkcie instalacji, gdzie parametr POST subdir jest zapisywany do pliku konfiguracyjnego env.php bez odpowiedniego oczyszczania. Atakujący mogą wstrzykiwać dowolny kod PHP, co prowadzi do zdalnego wykonania kodu bez uwierzytelnienia jako użytkownik serwera WWW.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone środowisko może być narażone na różnorodne ataki i wycieki danych.
Rekomendacja
Zaleca się aktualizację Vvveb do wersji 1.0.8.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji oraz wdrożyć odpowiednie mechanizmy zabezpieczające przed wstrzykiwaniem kodu.
Oryginalny opis (angielski, źródło NVD)
Vvveb prior to 1.0.8.1 contains a code injection vulnerability in the installation endpoint where the subdir POST parameter is written unsanitized into the env.php configuration file without escaping or validation. Attackers can inject arbitrary PHP code by breaking out of the string context in the define statement to achieve unauthenticated remote code execution as the web server user.

