CVE-2026-45800 in Vvveb
요약
\~에 의해 VulDB • 2026. 05. 15.
Vvveb는 웹사이트, 블로그 또는 이커머스 스토어를 구축하기 위한 페이지 빌더가 탑재된 강력하고 사용하기 쉬운 CMS입니다. 1.0.8.3 버전 이전의 Vvveb CMS에는 프론트엔드 사용자 주문 내역 페이지에서 인증된 SQL 인젝션 취약점이 존재합니다. 일반 프론트엔드 사용자는 로그인하여 /user/orders에 접근할 수 있습니다. URL에서 order_by 및 direction 요청 매개변수가 허용되고, Orders 구성 요소를 통해 전달된 후 OrderSQL::getAll()에서 SQL ORDER BY 절에 직접 연결됩니다. 이로 인해 공격자가 제어하는 입력이 화이트리스트 또는 안전한 쿼리 생성 단계 없이 SQL 구조에 도달합니다. 이 취약점은 1.0.8.3에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.