CVE-2026-46392
WysokieCVSS 8.7Streszczenie
HAX CMS umożliwia zarządzanie mikrositami z backendami PHP lub NodeJs. W wersjach przed 26.0.0, punkt końcowy `saveFile` walidował rozszerzenia plików bez uwzględnienia wielkości liter, co pozwalało na zapisanie nazwy pliku na dysku w oryginalnej formie, ale reguła `.htaccess`, która wymusza `Content-Disposition: attachment` dla plików HTML, jest wrażliwa na wielkość liter.
Ocena ryzyka
W przypadku przesłania pliku HTML z dużą literą w rozszerzeniu, plik jest serwowany jako `text/html`, co pozwala na wykonanie osadzonego JavaScriptu, omijając zabezpieczenia wprowadzone dla CVE-2026-22704. To stwarza ryzyko wykonania nieautoryzowanego kodu w przeglądarkach użytkowników.
Rekomendacja
Zaleca się aktualizację HAX CMS do wersji 26.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe kontrole walidacji rozszerzeń plików przed ich zapisaniem na serwerze.
Oryginalny opis (angielski, źródło NVD)
HAX CMS helps manage microsite universe with PHP or NodeJs backends. Prior to version 26.0.0 of HAX CMS PHP, the `saveFile` endpoint validates upload extensions case-insensitively and writes the filename to disk verbatim, but the `.htaccess` rule that forces `Content-Disposition: attachment` on HTML files is case-sensitive. An HTML file uploaded with an uppercase extension (`.HTML`, `.Html`, `.HTM`) is still served as `text/html` but the forced-download header never applies, so the browser renders it inline and executes any embedded JavaScript in the HAXcms origin. This bypasses the mitigation shipped for CVE-2026-22704. Version 26.0.0 contains a fix.

