CVE-2026-41933
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 - wyżej niż 16% wszystkich znanych CVE
Streszczenie
Vvveb przed wersją 1.0.8.3 zawiera podatność na ujawnienie listy katalogów, która pozwala nieuwierzytelnionym atakującym na wyliczenie plików i katalogów poprzez dostęp do wielu ścieżek pozbawionych odpowiednich dyrektyw indeksowania w plikach .htaccess. Atakujący mogą uzyskać dostęp do katalogów takich jak ścieżki zasobów administracyjnych, wtyczek, motywów i folderów multimediów, aby wyświetlić nazwy plików, rozmiary plików, znaczniki czasu modyfikacji oraz nieprzetworzone szablony administracyjne zawierające wrażliwe mapy tras.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości ujawnienia wrażliwych informacji, takich jak struktura katalogów, nazwy plików i nieprzetworzone szablony administracyjne, co może ułatwić dalsze ataki, w tym identyfikację podatnych komponentów lub tras administracyjnych.
Rekomendacja
Zaleca się natychmiastową aktualizację Vvveb do wersji 1.0.8.3 lub nowszej, która usuwa tę podatność. Dodatkowo należy skonfigurować serwer WWW tak, aby blokował listowanie katalogów dla wszystkich ścieżek aplikacji.
Oryginalny opis (angielski, źródło NVD)
Vvveb before 1.0.8.3 contains a directory listing information disclosure vulnerability that allows unauthenticated attackers to enumerate files and directories by accessing multiple paths lacking proper index directives in .htaccess files. Attackers can access directories such as admin asset paths, plugins, themes, and media folders to view filenames, file sizes, modification timestamps, and unrendered admin templates containing sensitive route maps.

