Katalog CVE

CVE-2026-46397

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

HAX CMS przed wersją 26.0.0 zawiera podatność typu Authenticated Local File Inclusion (LFI) w punkcie końcowym saveOutline, która pozwala użytkownikowi o niskich uprawnieniach na odczyt dowolnych plików na serwerze. Atakujący mogą wykorzystać tę lukę do wykradania wrażliwych plików systemowych.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych danych, takich jak pliki konfiguracyjne czy hasła aplikacji, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację HAX CMS do wersji 26.0.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

HAX CMS helps manage microsite universe with PHP or NodeJs backends. Prior to version 26.0.0, an Authenticated Local File Inclusion (LFI) vulnerability in the HAXCMS saveOutline endpoint allows a low-privileged user to read arbitrary files on the server by manipulating the location field written into site.json. This enables attackers to exfiltrate sensitive system files such as /etc/passwd, application secrets, or configuration files accessible to the web server (www-data). Version 26.0.0 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS