Vvweb < 1.0.8.2 XML 外部实体注入漏洞 漏洞概述 Vvweb 在版本 1.0.8.2 之前存在一个 XML 外部实体 (XXE) 注入漏洞。该漏洞位于管理员工具的导入功能中,允许经过身份验证的管理员读取任意文件并修改数据库记录。攻击者可以通过在 中注入文件路径或 PHP 过滤器实体引用,将恶意数据持久化到应用程序数据库中,从而实现任意文件披露和管理员密码哈希覆盖,导致权限提升。 影响范围 受影响软件: Vvweb 受影响版本: < 1.0.8.2 严重程度: High (高) CVSS 向量: 修复方案 升级到 Vvweb 版本 1.0.8.2 或更高版本。 参考信息 发布日期: 2026-06-06 CVE 编号: CVE-2026-41936 漏洞描述: Improper Restriction of XML External Entity Reference 报告人: Basant Kumar (@CyberWarrior9) 相关链接: Release Notes GitHub Security Advisory Patch Commit