CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-34460

MediumCVSS 5.4
Published: Updated: Translated: NVD NIST

Summary

NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.

Risk Assessment

Atakujący może spowodować, że przeglądarka ofiary przejdzie do przechwyconego URL, co skutkuje uwierzytelnieniem sesji ofiary jako konta powiązanego z atakującym. To prowadzi do potencjalnego przejęcia sesji użytkownika.

Recommendation

Zaleca się aktualizację do wersji 2.2.5, w której wprowadzono poprawki zabezpieczeń dotyczące weryfikacji parametru state w obsłudze callbacków OAuth.

Original NVD description (English source)

NamelessMC is website software for Minecraft servers. In versions 2.2.4 and prior, the OAuth callback handling does not validate the state parameter server-side before exchanging the authorization code. This allows an attacker to capture a valid OAuth callback URL for their own account and cause a victim's browser to navigate to it, resulting in the victim's session being authenticated as the attacker-linked account (OAuth login CSRF / session swapping). This is patched in version 2.2.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS