CVE-2026-46391
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 - wyżej niż 36% wszystkich znanych CVE
Streszczenie
HAX CMS, używany do zarządzania mikrositami z backendami PHP lub NodeJs, ma problem z walidacją nazw hostów w wersjach od 9.0.1 do 26.0.0. Wiele funkcji przeprowadza tylko dopasowanie podciągów, co pozwala atakującemu na przechwycenie danych uwierzytelniających.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przechwycenia danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemów organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 26.0.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
HAX CMS helps manage microsite universe with PHP or NodeJs backends. Starting in version 9.0.1 and prior to version 26.0.0 of @haxtheweb/open-apis, multiple functions conduct substring-only matching to validate hostnames to which basic authorization should be sent. An attacker can append the matched substrings to an attacker-controlled endpoint and capture authentication. Version 26.0.0 fixes the issue.

