Katalog CVE

CVE-2026-46400

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 - wyżej niż 31% wszystkich znanych CVE

Streszczenie

HAX CMS, używany do zarządzania mikrositami z backendem PHP lub NodeJs, ma lukę w funkcjonalności przesyłania plików, która w wersjach od 11.0.6 do 25.0.0 jedynie waliduje rozszerzenia plików przy użyciu wzorca regex, nie sprawdzając rzeczywistej zawartości pliku ani typu MIME. To umożliwia atakującym przesyłanie złośliwych plików, co może prowadzić do zdalnego wykonania kodu.

Ocena ryzyka

Organizacje mogą być narażone na ataki zdalnego wykonania kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację HAX CMS do wersji 25.0.0 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń przy przesyłaniu plików.

Oryginalny opis (angielski, źródło NVD)

HAX CMS helps manage microsite universe with PHP or NodeJs backends. Starting in version 11.0.6 and prior to version 25.0.0, the file upload functionality in HAXCMS PHP only validates file extensions using a regex pattern without checking the actual file content or MIME type. This allows attackers to upload malicious files (e.g., PHP webshells) disguised as legitimate image files, potentially leading to remote code execution. Version 25.0.0 contains a fix for the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS