Katalog CVE

CVE-2026-35443

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, plik `modules/Forum/classes/ForumPostReactionContext.php` jedynie weryfikuje, czy wywołujący może przeglądać forum, ale nie egzekwuje autoryzacji na poziomie tematów `view_other_topics`. W rezultacie, w forach, gdzie użytkownicy mogą wchodzić, ale mogą przeglądać tylko swoje tematy, reakcje mogą być nadal odczytywane i modyfikowane na tematach innych użytkowników.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do reakcji na tematy innych użytkowników, co może prowadzić do naruszenia prywatności i bezpieczeństwa danych. Użytkownicy mogą manipulować reakcjami, co wpływa na integralność forum.

Rekomendacja

Zaleca się aktualizację do wersji 2.2.5, która naprawia tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników w celu zapewnienia odpowiedniej kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

NamelessMC is website software for Minecraft servers. In version 2.2.4, `modules/Forum/classes/ForumPostReactionContext.php` only verifies that the caller can view the forum, but it does not re-enforce topic-level `view_other_topics` authorization. As a result, in forums where users may enter the forum but may only view their own topics, reactions can still be read and modified on other users' topics. Version 2.2.5 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS