← 戻る
CVE-2026-44826
high
CVSS 7.5
Vvveb is a powerful and easy to use CMS with page builder to build websites, blogs or ecommerce stores. Prior to 1.0.8.2, Vvveb CMS does not validate the sign of the quantity parameter on the cart-add...
概要
Vvveb is a powerful and easy to use CMS with page builder to build websites, blogs or ecommerce stores. Prior to 1.0.8.2, Vvveb CMS does not validate the sign of the quantity parameter on the cart-add endpoint. Submitting a negative integer is accepted by the server and treated as a normal positive...
AI要約 openai / gpt-4o
Vvveb CMSは、1.0.8.2より前のバージョンで、cart-addエンドポイントのquantityパラメータの符号を検証しないという脆弱性があります。これにより、マイナスの数値が受け入れられ、最終的な合計金額がマイナスとなるため、不正な注文が可能になります。この脆弱性はバージョン1.0.8.2で修正されています。
❓ 何が問題か
Vvveb CMSのバージョン1.0.8.2より前では、cart-addエンドポイントのquantityパラメータの符号を検証していません。
📍 影響範囲
Vvveb CMS version < 1.0.8.2 のcart-addエンドポイント。
🔥 重要度
攻撃者が不正注文を作成し、販売者が顧客に金銭を返還するよう誘導される可能性があります。
🔧 修正方法
バージョン1.0.8.2へのアップデートを実行します。
🛡️ 暫定回避
変更できない場合は、quantityパラメータの符号をサーバー側で手動で検証する。
🔍 検知方法
注文の合計金額がマイナスになっているかを確認する。