CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33398

HighCVSS 7.1
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.04%

14th percentile - higher than 14% of all known CVEs

Summary

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, skrypt `get_quotes.php` sprawdza jedynie, czy użytkownik jest zalogowany, a następnie odczytuje post na podstawie ID kontrolowanego przez atakującego, nie egzekwując odpowiednich uprawnień dostępu do forum lub tematu.

Risk Assessment

Niskoprawni użytkownicy mogą enumerować ID postów i uzyskiwać dostęp do treści z ukrytych, prywatnych lub dostępnych tylko dla personelu forów, co może prowadzić do ujawnienia poufnych informacji.

Recommendation

Zaleca się aktualizację do wersji 2.2.5, która naprawia tę podatność oraz wprowadza odpowiednie kontrole dostępu do treści forów.

Original NVD description (English source)

NamelessMC is website software for Minecraft servers. In version 2.2.4, `modules/Forum/pages/forum/get_quotes.php` only checks whether the caller is logged in, then reads a post by attacker-controlled `post` ID and returns its content. The backend helper in `modules/Forum/classes/Forum.php` does not enforce forum or topic ACLs. In contrast, the normal topic page in `modules/Forum/pages/forum/view_topic.php` enforces forum visibility and `view_other_topics`. Any low-privileged authenticated user can enumerate post IDs and read content from hidden, private, or staff-only forums. Version 2.2.5 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS