CVE-2026-34460
MediumCVSS 5.4Summary
NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.
Risk Assessment
Atakujący może spowodować, że przeglądarka ofiary przejdzie do przechwyconego URL, co skutkuje uwierzytelnieniem sesji ofiary jako konta powiązanego z atakującym. To prowadzi do potencjalnego przejęcia sesji użytkownika.
Recommendation
Zaleca się aktualizację do wersji 2.2.5, w której wprowadzono poprawki zabezpieczeń dotyczące weryfikacji parametru state w obsłudze callbacków OAuth.
Original NVD description (English source)
NamelessMC is website software for Minecraft servers. In versions 2.2.4 and prior, the OAuth callback handling does not validate the state parameter server-side before exchanging the authorization code. This allows an attacker to capture a valid OAuth callback URL for their own account and cause a victim's browser to navigate to it, resulting in the victim's session being authenticated as the attacker-linked account (OAuth login CSRF / session swapping). This is patched in version 2.2.5.

