← Back
CVE-2026-44826
high
CVSS 7.5
Vvveb is a powerful and easy to use CMS with page builder to build websites, blogs or ecommerce stores. Prior to 1.0.8.2, Vvveb CMS does not validate the sign of the quantity parameter on the cart-add...
Summary
Vvveb is a powerful and easy to use CMS with page builder to build websites, blogs or ecommerce stores. Prior to 1.0.8.2, Vvveb CMS does not validate the sign of the quantity parameter on the cart-add endpoint. Submitting a negative integer is accepted by the server and treated as a normal positive...
AI summary openai / gpt-4o
Vvveb CMSは、1.0.8.2より前のバージョンで、cart-addエンドポイントのquantityパラメータの符号を検証しないという脆弱性があります。これにより、マイナスの数値が受け入れられ、最終的な合計金額がマイナスとなるため、不正な注文が可能になります。この脆弱性はバージョン1.0.8.2で修正されています。
❓ What is the problem
Vvveb CMSのバージョン1.0.8.2より前では、cart-addエンドポイントのquantityパラメータの符号を検証していません。
📍 Affected scope
Vvveb CMS version < 1.0.8.2 のcart-addエンドポイント。
🔥 Severity
攻撃者が不正注文を作成し、販売者が顧客に金銭を返還するよう誘導される可能性があります。
🔧 How to fix
バージョン1.0.8.2へのアップデートを実行します。
🛡️ Workaround
変更できない場合は、quantityパラメータの符号をサーバー側で手動で検証する。
🔍 Detection
注文の合計金額がマイナスになっているかを確認する。