CVE-2026-46393
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, ma podatność typu Server-Side Request Forgery (SSRF) w wersjach przed 26.0.0. Umożliwia to uwierzytelnionym użytkownikom pobieranie dowolnych zasobów wewnętrznych lub lokalnych oraz zapisywanie odpowiedzi w katalogu dostępnym przez sieć.
Ocena ryzyka
Podatność ta pozwala na odczyt dowolnych plików oraz dostęp do wewnętrznej sieci, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację HAX CMS do wersji 26.0.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
HAX CMS helps manage microsite universe with PHP or NodeJs backends. An authenticated Server-Side Request Forgery (SSRF) vulnerability in versions prior to 26.0.0 allows authenticated users to fetch arbitrary internal or local resources and write the responses to a web-accessible directory, enabling arbitrary file read and internal network access. Version 26.0.0 contains a fix.

