Katalog CVE

CVE-2026-33398

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, skrypt `get_quotes.php` sprawdza jedynie, czy użytkownik jest zalogowany, a następnie odczytuje post na podstawie ID kontrolowanego przez atakującego, nie egzekwując odpowiednich uprawnień dostępu do forum lub tematu.

Ocena ryzyka

Niskoprawni użytkownicy mogą enumerować ID postów i uzyskiwać dostęp do treści z ukrytych, prywatnych lub dostępnych tylko dla personelu forów, co może prowadzić do ujawnienia poufnych informacji.

Rekomendacja

Zaleca się aktualizację do wersji 2.2.5, która naprawia tę podatność oraz wprowadza odpowiednie kontrole dostępu do treści forów.

Oryginalny opis (angielski, źródło NVD)

NamelessMC is website software for Minecraft servers. In version 2.2.4, `modules/Forum/pages/forum/get_quotes.php` only checks whether the caller is logged in, then reads a post by attacker-controlled `post` ID and returns its content. The backend helper in `modules/Forum/classes/Forum.php` does not enforce forum or topic ACLs. In contrast, the normal topic page in `modules/Forum/pages/forum/view_topic.php` enforces forum visibility and `view_other_topics`. Any low-privileged authenticated user can enumerate post IDs and read content from hidden, private, or staff-only forums. Version 2.2.5 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS