givanz Vvveb Code Editor code.php save code injection 漏洞信息(CVE-2025-8518)

一、漏洞 CVE-2025-8518 基础信息

漏洞信息

                                        # givanz Vvveb code.php 代码注入漏洞

## 概述

在 givanz Vvveb 1.0.5 中发现一个代码注入漏洞。

## 影响版本

- **版本**: Vvveb ≤ 1.0.5

## 细节

- **受影响文件**: `admin/controller/editor/code.php`
- **受影响功能**: `Save` 函数
- **攻击方式**: 攻击者可远程利用该漏洞进行代码注入攻击。

## 漏洞影响

- 漏洞允许远程攻击者通过恶意输入执行任意代码。
- 利用该漏洞可能对系统权限及数据造成严重危害。

## 解决方案

- **修复版本**: Vvveb ≥ 1.0.6
- **补丁编号**: `f684f3e374d04db715730fc4796e102f5ebcacb2`
- 建议尽快升级至修复版本以消除风险。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

givanz Vvveb Code Editor code.php save code injection

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was found in givanz Vvveb 1.0.5. It has been rated as critical. Affected by this issue is the function Save of the file admin/controller/editor/code.php of the component Code Editor. The manipulation leads to code injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 1.0.6 is able to address this issue. The name of the patch is f684f3e374d04db715730fc4796e102f5ebcacb2. It is recommended to upgrade the affected component.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Vvveb 注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Vvveb是Givan个人开发者的一个强大且易于使用的CMS，用于构建网站、博客或电子商务商店。 Vvveb 1.0.5版本存在注入漏洞，该漏洞源于文件admin/controller/editor/code.php中函数Save的错误操作导致代码注入。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-8518 的公开POC

#	POC 描述	源链接	神龙链接
1	This repository contains a Proof of Concept (PoC) demonstrating a critical vulnerability in givanz Vvveb 1.0.5. The vulnerability allows an authenticated user with template editing privileges to write arbitrary PHP code to server files, leading to Remote Code Execution (RCE).	https://github.com/maestro-ant/Vvveb-CMS-CVE-2025-8518	POC详情

三、漏洞 CVE-2025-8518 的情报信息

标题： Vvveb 1.0.5 | Non-validated Theme Editing Allows Privilege Abuse and RCE -- 🔗来源链接

标签： related
神龙速读
标题： A modified version of pentestmonkey PHP reverse shell. · GitHub -- 🔗来源链接

标签： exploit
神龙速读
标题： Code editor disable saving for php and tpl files to avoid php code in… · givanz/Vvveb@f684f3e · GitHub -- 🔗来源链接

标签： patch
神龙速读
标题： Release 1.0.6 · givanz/Vvveb · GitHub -- 🔗来源链接

标签： patch
神龙速读
标题： Login required -- 🔗来源链接

标签： signature permissions-required
神龙速读
标题： Submit #624971: Vvveb 1.0.5 Privilege Escalation to RCE -- 🔗来源链接

标签： third-party-advisory
神龙速读
标题： CVE-2025-8518 givanz Vvveb Code Editor code.php save code injection (EUVD-2025-23521) -- 🔗来源链接

标签： vdb-entry technical-description
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-8518