CVE-2026-33398
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, skrypt `get_quotes.php` sprawdza jedynie, czy użytkownik jest zalogowany, a następnie odczytuje post na podstawie ID kontrolowanego przez atakującego, nie egzekwując odpowiednich uprawnień dostępu do forum lub tematu.
Ocena ryzyka
Niskoprawni użytkownicy mogą enumerować ID postów i uzyskiwać dostęp do treści z ukrytych, prywatnych lub dostępnych tylko dla personelu forów, co może prowadzić do ujawnienia poufnych informacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.2.5, która naprawia tę podatność oraz wprowadza odpowiednie kontrole dostępu do treści forów.
Oryginalny opis (angielski, źródło NVD)
NamelessMC is website software for Minecraft servers. In version 2.2.4, `modules/Forum/pages/forum/get_quotes.php` only checks whether the caller is logged in, then reads a post by attacker-controlled `post` ID and returns its content. The backend helper in `modules/Forum/classes/Forum.php` does not enforce forum or topic ACLs. In contrast, the normal topic page in `modules/Forum/pages/forum/view_topic.php` enforces forum visibility and `view_other_topics`. Any low-privileged authenticated user can enumerate post IDs and read content from hidden, private, or staff-only forums. Version 2.2.5 fixes the issue.

