CVE-2026-44826 in Vvveb
요약
\~에 의해 VulDB • 2026. 05. 26.
Vvveb는 웹사이트, 블로그 또는 이커머스 스토어를 구축하기 위한 페이지 빌더가 탑재된 강력하고 사용하기 쉬운 CMS입니다. 1.0.8.2 이전 버전의 Vvveb CMS는 cart-add 엔드포인트에서 수량(quantity) 매개변수의 부호를 검증하지 않습니다. 음수 정수를 제출하면 서버가 이를 정상적인 양수 라인 항목으로 받아들이지만, 부호가 모든 하위 계산(line total, sub-total, taxes, grand total)에 그대로 전달되어 모든 금액이 음수로 계산됩니다. 고객-facing 장바구니 UI는 사용자에게 음수의 최종 합계를 표시하며, 체크아웃 흐름은 음수 장바구니를 수락하고, 결과적으로 생성된 주문은 음수 총액 열을 포함하여 상점주의 데이터베이스에 영구 저장됩니다. 상점주의 주문 관리 대시보드에서는 이는 음수 총액을 가진 실제 주문으로 나타나며, 합법적인 워크플로우에서는 절대 생성되지 않는 "상점주가 고객에게 돈을 빚진" 기록이 됩니다. 이 취약점은 1.0.8.2에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.