Вразливість віддаленого виконання коду у Vvveb CMS v1.0.8.2 через помилку обробки перейменування файлів

Критична вразливість у Vvveb CMS v1.0.8.2 дозволяє аутентифікованим зловмисникам виконувати довільний код через помилку перейменування файлів.
CVE-2026-6257CVSS 9.2Web

Вразливість віддаленого виконання коду у Vvveb CMS v1.0.8.2 через помилку обробки перейменування файлів

Критична вразливість у Vvveb CMS v1.0.8.2 дозволяє аутентифікованим зловмисникам виконувати довільний код через помилку перейменування файлів.

CVSS
9.2 CRITICAL
EPSS
45.93%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Vvveb CMS v1.0.8.2 виявлено критичну вразливість віддаленого виконання коду в функції керування медіафайлами. Аутентифіковані зловмисники можуть обійти обмеження на розширення файлів, перейменовуючи їх на .php або .htaccess, що дозволяє виконувати довільні команди на сервері.

Бізнес-вплив

Ця вразливість може призвести до повного компрометації веб-сервера, оскільки зловмисники отримують можливість запускати довільний код з правами користувача www-data. Для власників інфраструктури це означає високий ризик витоку даних, порушення роботи сервісів та потенційних подальших атак у мережі.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від розробника Vvveb CMS. Якщо оновлення недоступні, слід обмежити доступ до функцій завантаження та перейменування файлів, ретельно перевіряти журнали активності на підозрілі дії та розглянути тимчасове відключення уразливих модулів. Також варто впровадити додаткові заходи контролю доступу та моніторингу.

Джерела