Krytyczna luka w Vvveb umożliwiająca nieautoryzowany dostęp do bazy danych przez phpMyAdmin

Luka w Vvveb przed 1.0.8.2 pozwala na nieautoryzowany dostęp do phpMyAdmin i pełną kontrolę nad bazą danych. Zalecana szybka aktualizacja.
CVE-2026-41930CVSS 9.2Web

Krytyczna luka w Vvveb umożliwiająca nieautoryzowany dostęp do bazy danych przez phpMyAdmin

Luka w Vvveb przed 1.0.8.2 pozwala na nieautoryzowany dostęp do phpMyAdmin i pełną kontrolę nad bazą danych. Zalecana szybka aktualizacja.

CVSS
9.2 CRITICAL
EPSS
26.7%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach Vvveb przed 1.0.8.2 wykryto lukę polegającą na twardo zakodowanych poświadczeniach w pliku docker-compose-apache.yaml. Pozwala to nieautoryzowanym atakującym na dostęp do kontenera phpMyAdmin i pełny odczyt oraz zapis w bazie danych, w tym dane administratorów i klientów.

Wpływ biznesowy

Luka umożliwia atakującym przejęcie kont administratorów oraz manipulację danymi klientów i zamówień, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania klientów. Infrastruktura korzystająca z podatnej wersji Vvveb jest narażona na krytyczne naruszenia danych i potencjalne szkody finansowe.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Vvveb do wersji 1.0.8.2 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do kontenera phpMyAdmin, przejrzeć logi pod kątem podejrzanej aktywności oraz wdrożyć dodatkowe mechanizmy uwierzytelniania i monitoringu. Priorytetowo traktuj przegląd i zabezpieczenie środowiska.

Źródła