Description
A weakness has been identified in givanz Vvveb up to 1.0.7.2. Affected is an unknown function of the file /system/traits/media.php. Executing manipulation of the argument files[] can lead to unrestricted upload. The attack can be launched remotely. The exploit has been made available to the public and could be exploited. Applying a patch is advised to resolve this issue. The code maintainer explains, that "[he] fixed the code to remove this vulnerability and will make a new release".
Es wurde eine Schwachstelle in givanz Vvveb bis 1.0.7.2 entdeckt. Davon betroffen ist unbekannter Code der Datei /system/traits/media.php. Durch die Manipulation des Arguments files[] mit unbekannten Daten kann eine unrestricted upload-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Der Exploit ist öffentlich verfügbar und könnte genutzt werden. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Problem types
Product status
1.0.7.1
1.0.7.2
Timeline
| 2025-08-24: | Advisory disclosed |
| 2025-08-24: | VulDB entry created |
| 2025-08-24: | VulDB entry last update |
Credits
Yu Bao (VulDB User)
References
vuldb.com/?id.321233 (VDB-321233 | givanz Vvveb media.php unrestricted upload)
vuldb.com/?ctiid.321233 (VDB-321233 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.632530 (Submit #632530 | givanz Vvveb 1.0.7.2 External Control of File Name or Path)
github.com/August829/Yu/blob/main/20250812_2.md
github.com/August829/Yu/blob/main/20250812_2.md
