CVE-2026-33398
HighCVSS 7.1Exploitation Probability (EPSS)
Low risk14th percentile - higher than 14% of all known CVEs
Summary
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, skrypt `get_quotes.php` sprawdza jedynie, czy użytkownik jest zalogowany, a następnie odczytuje post na podstawie ID kontrolowanego przez atakującego, nie egzekwując odpowiednich uprawnień dostępu do forum lub tematu.
Risk Assessment
Niskoprawni użytkownicy mogą enumerować ID postów i uzyskiwać dostęp do treści z ukrytych, prywatnych lub dostępnych tylko dla personelu forów, co może prowadzić do ujawnienia poufnych informacji.
Recommendation
Zaleca się aktualizację do wersji 2.2.5, która naprawia tę podatność oraz wprowadza odpowiednie kontrole dostępu do treści forów.
Original NVD description (English source)
NamelessMC is website software for Minecraft servers. In version 2.2.4, `modules/Forum/pages/forum/get_quotes.php` only checks whether the caller is logged in, then reads a post by attacker-controlled `post` ID and returns its content. The backend helper in `modules/Forum/classes/Forum.php` does not enforce forum or topic ACLs. In contrast, the normal topic page in `modules/Forum/pages/forum/view_topic.php` enforces forum visibility and `view_other_topics`. Any low-privileged authenticated user can enumerate post IDs and read content from hidden, private, or staff-only forums. Version 2.2.5 fixes the issue.

