CVE-2026-35443
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, plik `modules/Forum/classes/ForumPostReactionContext.php` jedynie weryfikuje, czy wywołujący może przeglądać forum, ale nie egzekwuje autoryzacji na poziomie tematów `view_other_topics`. W rezultacie, w forach, gdzie użytkownicy mogą wchodzić, ale mogą przeglądać tylko swoje tematy, reakcje mogą być nadal odczytywane i modyfikowane na tematach innych użytkowników.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do reakcji na tematy innych użytkowników, co może prowadzić do naruszenia prywatności i bezpieczeństwa danych. Użytkownicy mogą manipulować reakcjami, co wpływa na integralność forum.
Rekomendacja
Zaleca się aktualizację do wersji 2.2.5, która naprawia tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników w celu zapewnienia odpowiedniej kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
NamelessMC is website software for Minecraft servers. In version 2.2.4, `modules/Forum/classes/ForumPostReactionContext.php` only verifies that the caller can view the forum, but it does not re-enforce topic-level `view_other_topics` authorization. As a result, in forums where users may enter the forum but may only view their own topics, reactions can still be read and modified on other users' topics. Version 2.2.5 fixes the issue.

