Katalog CVE

CVE-2026-40571

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności postów na prywatnych lub zablokowanych profilach. Umożliwia to uwierzytelnionym użytkownikom o niskich uprawnieniach dodawanie reakcji do postów na prywatnych profilach.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane interakcje z prywatnymi postami, co może prowadzić do naruszenia prywatności użytkowników. Niskie uprawnienia użytkowników mogą być wykorzystane do manipulacji treściami na profilach.

Rekomendacja

Zaleca się aktualizację do wersji 2.2.5, która zawiera poprawkę rozwiązującą ten problem. Należy również przeanalizować uprawnienia użytkowników, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

NamelessMC is website software for Minecraft servers. In version 2.2.4, `core/classes/Misc/ProfilePostReactionContext.php` only verifies that the wall post exists and does not enforce blocked/private-profile visibility. This means that authenticated low-privileged users can add reactions to private or blocking profile posts. Version 2.2.5 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS