CVE-2026-46396
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
W HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, występuje podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania elementów `<iframe>`, co pozwala na wykonanie złośliwego kodu JavaScript.
Ocena ryzyka
Atakujący może wykonać dowolny kod JavaScript w kontekście przeglądarki ofiary, co prowadzi do ujawnienia wrażliwych danych dostępnych dla skryptów po stronie klienta.
Rekomendacja
Zaleca się aktualizację do wersji 26.0.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
HAX CMS helps manage microsite universe with PHP or NodeJs backends. A stored cross-site scripting (XSS) vulnerability exists in versions prior to 26.0.0 due to improper sanitization of `<iframe>` elements. The application allows `javascript:` URIs in the `src` attribute, which are executed when a malicious page is viewed. This enables attackers to execute arbitrary JavaScript in the context of the victim’s browser and access sensitive data exposed to client-side scripts. Version 26.0.0 fixes the issue.

