CVE-2026-45800 in Vvvebالمعلومات

الملخص

بحسب VulDB • 24/05/2026

Vvveb هو نظام إدارة محتوى (CMS) قوي وسهل الاستخدام، يتضمن باني صفحات لإنشاء مواقع الويب، والمدونات، أو متاجر التجارة الإلكترونية. قبل الإصدار 1.0.8.3، توجد ثغرة حقن SQL (SQL Injection) مُوثَّقة في صفحة سجل طلبات المستخدم على الواجهة الأمامية في Vvveb CMS. يمكن للمستخدم العادي على الواجهة الأمامية تسجيل الدخول والوصول إلى المسار /user/orders. يتم قبول معلمات الطلب order_by و direction من عنوان URL، ونقلها عبر مكون الطلبات (Orders component)، ودمجها مباشرةً في جملة SQL ORDER BY في الدالة OrderSQL::getAll(). ونتيجةً لذلك، تصل المدخلات التي يتحكم فيها المهاجم إلى بنية SQL دون وجود قائمة بيضاء (whitelist) أو خطوة بناء استعلام آمنة. تم إصلاح هذه الثغرة في الإصدار 1.0.8.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/05/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364236

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

6.3 (VulDB)

EPSS

0.00011

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45800
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45800
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45800/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!