CVE-2026-45800 in Vvvebinformation

Résumé

par VulDB • 24/05/2026

Vvveb est un CMS puissant et facile à utiliser, doté d’un constructeur de pages pour créer des sites web, des blogs ou des boutiques de commerce électronique. Avant la version 1.0.8.3, une vulnérabilité d’injection SQL authentifiée existe sur la page d’historique des commandes des utilisateurs frontaux dans Vvveb CMS. Un utilisateur frontal standard peut se connecter et accéder à /user/orders. Les paramètres de requête order_by et direction sont acceptés depuis l’URL, propagés via le composant Orders, et directement concaténés dans la clause SQL ORDER BY dans OrderSQL::getAll(). En raison de cela, une entrée contrôlée par l’attaquant atteint la structure SQL sans étape de whitelist ou de construction de requête sécurisée. Cette vulnérabilité est corrigée dans la version 1.0.8.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

13/05/2026

Divulgation

15/05/2026

Modérer

accepté

Entrée

VDB-364236

CPE

prêt

EPSS

0.00011

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45800
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45800
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45800/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!