Katalog CVE

CVE-2026-46391

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 36 - wyżej niż 36% wszystkich znanych CVE

Streszczenie

HAX CMS, używany do zarządzania mikrositami z backendami PHP lub NodeJs, ma problem z walidacją nazw hostów w wersjach od 9.0.1 do 26.0.0. Wiele funkcji przeprowadza tylko dopasowanie podciągów, co pozwala atakującemu na przechwycenie danych uwierzytelniających.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przechwycenia danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemów organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 26.0.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

HAX CMS helps manage microsite universe with PHP or NodeJs backends. Starting in version 9.0.1 and prior to version 26.0.0 of @haxtheweb/open-apis, multiple functions conduct substring-only matching to validate hostnames to which basic authorization should be sent. An attacker can append the matched substrings to an attacker-controlled endpoint and capture authentication. Version 26.0.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS