CVE-2026-46397 in haxcms-php
要約
〜によって VulDB • 2026年06月05日
HAX CMSは、PHPまたはNode.jsバックエンドを使用してマイクロサイトの管理を支援します。バージョン26.0.0より前では、HAXCMSのsaveOutlineエンドポイントに認証済みローカルファイルインクルージョン(LFI)の脆弱性が存在し、低権限ユーザーがsite.jsonに書き込まれるlocationフィールドを操作することで、サーバー上の任意のファイルを読み取ることができます。これにより、攻撃者は/etc/passwd、アプリケーションのシークレット、またはWebサーバー(www-data)からアクセス可能な設定ファイルなどの機密システムファイルを外部に漏洩させることが可能になります。バージョン26.0.0でこの問題は修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.