CVE-2026-6257
KrytyczneStreszczenie
Vvveb CMS w wersji 1.0.8.2 zawiera podatność na zdalne wykonanie kodu w funkcjonalności zarządzania mediami. Brakująca instrukcja zwrotu w obsłudze zmiany nazwy pliku pozwala uwierzytelnionym atakującym na zmianę nazw plików na zablokowane rozszerzenia .php lub .htaccess.
Ocena ryzyka
Atakujący mogą wykorzystać tę lukę do wstrzykiwania dyrektyw Apache, co umożliwia wykonanie dowolnych poleceń systemowych jako użytkownik www-data. To stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację Vvveb CMS do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy wprowadzić odpowiednie kontrole dostępu do zarządzania plikami oraz monitorować logi systemowe w celu wykrywania nieautoryzowanych działań.
Oryginalny opis (angielski, źródło NVD)
Vvveb CMS v1.0.8.2 contains a remote code execution vulnerability in its media management functionality where a missing return statement in the file rename handler allows authenticated attackers to rename files to blocked extensions .php or .htaccess. Attackers can exploit this logic flaw by first uploading a text file and renaming it to .htaccess to inject Apache directives that register PHP-executable MIME types, then uploading another file and renaming it to .php to execute arbitrary operating system commands as the www-data user.

