CVE-2026-40571
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności postów na prywatnych lub zablokowanych profilach. Umożliwia to uwierzytelnionym użytkownikom o niskich uprawnieniach dodawanie reakcji do postów na prywatnych profilach.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane interakcje z prywatnymi postami, co może prowadzić do naruszenia prywatności użytkowników. Niskie uprawnienia użytkowników mogą być wykorzystane do manipulacji treściami na profilach.
Rekomendacja
Zaleca się aktualizację do wersji 2.2.5, która zawiera poprawkę rozwiązującą ten problem. Należy również przeanalizować uprawnienia użytkowników, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
NamelessMC is website software for Minecraft servers. In version 2.2.4, `core/classes/Misc/ProfilePostReactionContext.php` only verifies that the wall post exists and does not enforce blocked/private-profile visibility. This means that authenticated low-privileged users can add reactions to private or blocking profile posts. Version 2.2.5 contains a patch.

