CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48527

High
Published: Translated: NVD NIST

Summary

HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, ma podatność na przechowywane ataki XSS w wersjach do 26.0.0 w punkcie końcowym `/system/api/saveNode`. Użytkownik z uprawnieniami do edytowania stron może obejść sanitizację HTML, wstrzykując atrybut obsługi zdarzeń bez białych znaków przed nazwą atrybutu.

Risk Assessment

Podatność ta może prowadzić do wykonania złośliwego kodu w kontekście przeglądarki użytkowników, co stwarza ryzyko kradzieży danych lub przejęcia sesji. Organizacje powinny być świadome potencjalnych ataków na swoich użytkowników.

Recommendation

Zaleca się aktualizację do wersji 26.0.1 dla @haxtheweb/haxcms-nodejs lub 26.0.2 dla haxcms-php, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych luk.

Original NVD description (English source)

HAX CMS helps manage microsite universe with PHP or NodeJs backends. Versions up to and including 26.0.0 are affected by a stored cross-site scripting (XSS) vulnerability in the `/system/api/saveNode` endpoint. An authenticated user with a permission to edit pages can bypass the HTML sanitizer by injecting an event handler attribute without whitespace before the attribute name. @haxtheweb/haxcms-nodejs 26.0.1 and haxcms-php 26.0.2 patch the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS