← Back
CMS / Site Builder
CVE-2026-46408 high CVSS 7.6

Vvveb is a powerful and easy to use CMS with page builder to build websites, blogs or ecommerce stores. Prior to 1.0.8.3, the checkout endpoint accepts a user-controlled cart_id and uses it to enter t...

Summary

Vvveb is a powerful and easy to use CMS with page builder to build websites, blogs or ecommerce stores. Prior to 1.0.8.3, the checkout endpoint accepts a user-controlled cart_id and uses it to enter the payment flow without verifying cart ownership. A logged-in attacker can therefore reuse another u...

AI summary openai / gpt-4o

Vvveb CMSのバージョン1.0.8.3より前のバージョンには、チェックアウトエンドポイントがユーザー制御のcart_idを受け入れ、カートの所有権を確認せずにそのデータを決済フローに入れる脆弱性があります。このため、ログインしている攻撃者は他のユーザーのカートデータを自身のセッションで再利用できてしまいます。
❓ What is the problem
ユーザー制御のcart_idを使って、カートの所有権を確認せずに決済に進む脆弱性。
📍 Affected scope
Vvveb CMS バージョン1.0.8.3以前
🔥 Severity
攻撃者が他ユーザーのカートデータを不正使用できるため、高度な脅威。
🔧 How to fix
バージョン1.0.8.3にアップデートして修正。
🛡️ Workaround
なし
🔍 Detection
ログインユーザーの行動ログを監査し、不自然な決済の試みを確認する。

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →