CVE-2026-34460
ŚrednieCVSS 5.4Streszczenie
NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.
Ocena ryzyka
Atakujący może spowodować, że przeglądarka ofiary przejdzie do przechwyconego URL, co skutkuje uwierzytelnieniem sesji ofiary jako konta powiązanego z atakującym. To prowadzi do potencjalnego przejęcia sesji użytkownika.
Rekomendacja
Zaleca się aktualizację do wersji 2.2.5, w której wprowadzono poprawki zabezpieczeń dotyczące weryfikacji parametru state w obsłudze callbacków OAuth.
Oryginalny opis (angielski, źródło NVD)
NamelessMC is website software for Minecraft servers. In versions 2.2.4 and prior, the OAuth callback handling does not validate the state parameter server-side before exchanging the authorization code. This allows an attacker to capture a valid OAuth callback URL for their own account and cause a victim's browser to navigate to it, resulting in the victim's session being authenticated as the attacker-linked account (OAuth login CSRF / session swapping). This is patched in version 2.2.5.

