Krytyczna luka RCE w Vvveb CMS 1.0.8.2 przez niewłaściwe zarządzanie nazwami plików

Krytyczna luka w Vvveb CMS 1.0.8.2 umożliwia zdalne wykonanie kodu przez niewłaściwe zarządzanie nazwami plików. Zalecane szybkie działania administracyjne.
CVE-2026-6257CVSS 9.2Web

Krytyczna luka RCE w Vvveb CMS 1.0.8.2 przez niewłaściwe zarządzanie nazwami plików

Krytyczna luka w Vvveb CMS 1.0.8.2 umożliwia zdalne wykonanie kodu przez niewłaściwe zarządzanie nazwami plików. Zalecane szybkie działania administracyjne.

CVSS
9.2 CRITICAL
EPSS
45.93%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Vvveb CMS w wersji 1.0.8.2 zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu poprzez funkcję zarządzania mediami. Błąd polega na braku odpowiedniego zwrotu w obsłudze zmiany nazw plików, co pozwala uwierzytelnionym atakującym na zmianę rozszerzeń na zablokowane, takie jak .php lub .htaccess.

Wpływ biznesowy

Luka ta może prowadzić do przejęcia kontroli nad serwerem WWW poprzez wykonanie dowolnych poleceń systemowych z uprawnieniami użytkownika www-data. Może to skutkować poważnymi konsekwencjami dla bezpieczeństwa infrastruktury IT, w tym wyciekiem danych, utratą integralności systemów oraz przerwami w działaniu usług.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie sprawdzić dostępność aktualizacji lub poprawek od dostawcy Vvveb CMS. W międzyczasie zaleca się ograniczenie dostępu do funkcji zarządzania mediami tylko do zaufanych użytkowników, monitorowanie logów pod kątem podejrzanych działań oraz rozważenie tymczasowego wyłączenia funkcji zmiany nazw plików. Priorytetowo należy przeprowadzić audyt bezpieczeństwa i weryfikację konfiguracji serwera.

Źródła