CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35443

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.04%

14th percentile - higher than 14% of all known CVEs

Summary

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, plik `modules/Forum/classes/ForumPostReactionContext.php` jedynie weryfikuje, czy wywołujący może przeglądać forum, ale nie egzekwuje autoryzacji na poziomie tematów `view_other_topics`. W rezultacie, w forach, gdzie użytkownicy mogą wchodzić, ale mogą przeglądać tylko swoje tematy, reakcje mogą być nadal odczytywane i modyfikowane na tematach innych użytkowników.

Risk Assessment

Organizacja może być narażona na nieautoryzowany dostęp do reakcji na tematy innych użytkowników, co może prowadzić do naruszenia prywatności i bezpieczeństwa danych. Użytkownicy mogą manipulować reakcjami, co wpływa na integralność forum.

Recommendation

Zaleca się aktualizację do wersji 2.2.5, która naprawia tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników w celu zapewnienia odpowiedniej kontroli dostępu.

Original NVD description (English source)

NamelessMC is website software for Minecraft servers. In version 2.2.4, `modules/Forum/classes/ForumPostReactionContext.php` only verifies that the caller can view the forum, but it does not re-enforce topic-level `view_other_topics` authorization. As a result, in forums where users may enter the forum but may only view their own topics, reactions can still be read and modified on other users' topics. Version 2.2.5 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS