CVE-2026-46401
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
HAX CMS, używany do zarządzania mikrositami z backendem PHP lub NodeJs, ma problem z nieprawidłowym zakończeniem sesji w wersjach przed 26.0.0. Tokeny uwierzytelniające pozostają ważne po wylogowaniu użytkownika, co umożliwia atakującym uzyskanie trwałego dostępu do funkcji CMS.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do metadanych CMS oraz funkcji administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 26.0.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
HAX CMS helps manage microsite universe with PHP or NodeJs backends. Versions prior to 26.0.0 suffer from an improper session termination vulnerability where authentication tokens remain valid after user logout. This allows attackers who obtain valid tokens to maintain persistent access to authenticated CMS functionality, bypassing the intended session termination mechanism and enabling unauthorized access to CMS metadata and administrative functions. Version 26.0.0 fixes the issue.

