Katalog CVE

CVE-2026-46396

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.05%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, występuje podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania elementów `<iframe>`, co pozwala na wykonanie złośliwego kodu JavaScript.

Ocena ryzyka

Atakujący może wykonać dowolny kod JavaScript w kontekście przeglądarki ofiary, co prowadzi do ujawnienia wrażliwych danych dostępnych dla skryptów po stronie klienta.

Rekomendacja

Zaleca się aktualizację do wersji 26.0.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

HAX CMS helps manage microsite universe with PHP or NodeJs backends. A stored cross-site scripting (XSS) vulnerability exists in versions prior to 26.0.0 due to improper sanitization of `<iframe>` elements. The application allows `javascript:` URIs in the `src` attribute, which are executed when a malicious page is viewed. This enables attackers to execute arbitrary JavaScript in the context of the victim’s browser and access sensitive data exposed to client-side scripts. Version 26.0.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS