CVE-2026-41936— Vvveb 代码问题漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-41936の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Vvveb < 1.0.8.2 XML External Entity Injection via Import
ソース: NVD (National Vulnerability Database)
脆弱性説明
Vvveb before version 1.0.8.2 contains an XML external entity (XXE) injection vulnerability in the admin Tools/Import feature that allows authenticated site_admin users to read arbitrary files and modify database records. Attackers can exploit the XML parser configuration in system/import/xml.php to inject file:// or php://filter entity references that are resolved and persisted into the application database, enabling arbitrary file disclosure and administrator password hash overwriting for privilege escalation.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
XML外部实体引用的不恰当限制(XXE)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Vvveb 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Vvveb是Givan个人开发者的一个强大且易于使用的CMS,用于构建网站、博客或电子商务商店。 Vvveb 1.0.8.2之前版本存在代码问题漏洞,该漏洞源于管理员工具导入功能中存在XML外部实体注入,可能导致认证用户读取任意文件和修改数据库记录。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-41936の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
Qwen3.6-35B-A3B · 5990 文字数
有料版に含まれるもの:
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠
III. CVE-2026-41936のインテリジェンス情報
请登录查看更多情报信息。
- Release Vvveb 1.0.8.2 · givanz/Vvveb · GitHubrelease-notes
- https://nvd.nist.gov/vuln/detail/CVE-2026-41936
Same Patch Batch · givanz · 2026-05-06 · 5 CVEs total
| CVE-2026-41930 | 9.8 CRITICAL | Vvveb < 1.0.8.2 Hard-coded Credentials Information Disclosure via phpMyAdmin |
| CVE-2026-41938 | 8.8 HIGH | Vvveb < 1.0.8.2 RCE via Media Upload Handler |
| CVE-2026-41934 | 8.8 HIGH | Vvveb < 1.0.8.2 Authenticated RCE via Code Editor |
| CVE-2026-41931 | 5.3 MEDIUM | Vvveb < 1.0.8.2 Information Disclosure via Debug Exception Handler |
IV. 関連脆弱性
同じ製品: Vvveb
- CVE-2026-41928
Vvveb < 1.0.8.2 Information Disclosure via Cron Controller - CVE-2026-41929
Vvveb < 1.0.8.2 Unauthenticated Reflected XSS via Visual Edi - CVE-2026-41938
Vvveb < 1.0.8.2 RCE via Media Upload Handler - CVE-2026-41930
Vvveb < 1.0.8.2 Hard-coded Credentials Information Disclosur - CVE-2026-41931
Vvveb < 1.0.8.2 Information Disclosure via Debug Exception H
同じベンダー: givanz
- CVE-2026-41928
Vvveb < 1.0.8.2 Information Disclosure via Cron Controller - CVE-2026-41929
Vvveb < 1.0.8.2 Unauthenticated Reflected XSS via Visual Edi - CVE-2026-41938
Vvveb < 1.0.8.2 RCE via Media Upload Handler - CVE-2026-41930
Vvveb < 1.0.8.2 Hard-coded Credentials Information Disclosur - CVE-2026-41931
Vvveb < 1.0.8.2 Information Disclosure via Debug Exception H
同じ弱点: CWE-611
- CVE-2026-40682
Apache OpenNLP: XXE via Dictionary Parsing in DictionaryEntr - CVE-2026-6501
ILM Informatique jOpenDocument 代码问题漏洞 - CVE-2025-14543
Improper Restriction of XML External Entity Reference vulner - CVE-2024-13971
Arbitrary File Read and Server Side Request Forgery via XML - CVE-2024-39847
Arbitrary File Read and Server Side Request Forgery via XML
V. CVE-2026-41936へのコメント
まだコメントはありません