CVE-2026-40571
MediumCVSS 5.3Exploitation Probability (EPSS)
Low risk14th percentile - higher than 14% of all known CVEs
Summary
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności postów na prywatnych lub zablokowanych profilach. Umożliwia to uwierzytelnionym użytkownikom o niskich uprawnieniach dodawanie reakcji do postów na prywatnych profilach.
Risk Assessment
Organizacja może być narażona na nieautoryzowane interakcje z prywatnymi postami, co może prowadzić do naruszenia prywatności użytkowników. Niskie uprawnienia użytkowników mogą być wykorzystane do manipulacji treściami na profilach.
Recommendation
Zaleca się aktualizację do wersji 2.2.5, która zawiera poprawkę rozwiązującą ten problem. Należy również przeanalizować uprawnienia użytkowników, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
NamelessMC is website software for Minecraft servers. In version 2.2.4, `core/classes/Misc/ProfilePostReactionContext.php` only verifies that the wall post exists and does not enforce blocked/private-profile visibility. This means that authenticated low-privileged users can add reactions to private or blocking profile posts. Version 2.2.5 contains a patch.

