CVE-2026-44826Vvveb CMS在1.0.8.2之前的版本中存在严重的输入验证逻辑漏洞。该CMS的购物车添加端点未对`quantity`参数的符号进行有效验证。攻击者可以利用此漏洞提交负数数量,导致系统在计算行总计、小计及最终总价时出现负值。这使得攻击者能够以负金额完成结账,在数据库中生成欠款订单,进而造成严重的经济损失。该问题已在1.0.8.2版本中修复。
该漏洞源于服务器端对用户输入数据的校验逻辑缺失。具体而言,Vvveb CMS在处理购物车添加请求(`cart-add` endpoint)时,未对`quantity`参数进行符号验证和范围限制。攻击者可以通过篡改HTTP请求,将商品数量设置为负整数(例如-1)。服务器后端在处理该请求时,未对负值进行过滤,直接将其传递给下游的计算模块,包括行项目总计、订单小计、税费计算以及最终的总价计算。由于负号在算术运算中被保留,导致最终计算出的订单总额为负数。前端用户界面会显示负的应付金额,结账流程允许支付负金额(即获得退款),系统随后将此异常订单持久化存储到商家的数据库中。从业务角度看,这破坏了交易的完整性,允许攻击者以零成本或获利方式获取商品,给商家造成直接经济损失。该漏洞无需用户交互即可远程利用,CVSS向量中完整性影响为高(I:H)。