CVE-2026-45800 in VvvebИнформация

Сводка

по VulDB • 24.05.2026

Vvveb — это мощный и простой в использовании CMS с конструктором страниц для создания веб-сайтов, блогов или интернет-магазинов. До версии 1.0.8.3 в странице истории заказов пользователей на фронтенде CMS Vvveb существует уязвимость SQL-инъекции, требующая аутентификации. Обычный пользователь фронтенда может войти в систему и получить доступ к /user/orders. Параметры запроса order_by и direction принимаются из URL, передаются через компонент Orders и напрямую конкатенируются в предложение SQL ORDER BY в функции OrderSQL::getAll(). Из-за этого управляемый атакующим ввод попадает в структуру SQL без использования белого списка или этапа безопасной конструирования запроса. Эта уязвимость исправлена в версии 1.0.8.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

13.05.2026

Раскрытие

15.05.2026

Модерация

принято

Вход

VDB-364236

CPE

готов

CWE

CWE-89 (Подтверждённый)

CVSS

6.3 (VulDB)

EPSS

0.00011

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45800
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45800
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45800/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!