HAX CMS помогает управлять микросайтом с помощью PHP или NodeJs. В версиях от 11.0.6 до 25.0.0 HAX CMS уязвима к хранимому XSS, что может привести к захвату учетной записи. Эта проблема исправлена в версии 25.0.0.
Показать оригинальное описание (EN)
HAX CMS helps manage microsite universe with PHP or NodeJs backends. In versions 11.0.6 to before 25.0.0, HAX CMS is vulnerable to stored XSS, which could lead to account takeover. This issue has been patched in version 25.0.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 3
https://github.com/haxtheweb/haxcms-nodejs/commit/317a8ae29f88be389f7cfeffaef41…
security-advisories@github.com
https://github.com/haxtheweb/haxcms-nodejs/releases/tag/v25.0.0
security-advisories@github.com
https://github.com/haxtheweb/issues/security/advisories/GHSA-3fm2-xfq7-7778
security-advisories@github.com