CRITICAL🇬🇧 English

CVE-2026-46399

HAX CMS PHP – RCE przez command injection w konfiguracji filtrów Git

CVSS 9.4v4.0pub. 2026-06-05upd. 2026-06-08

Wersje PHP HAX CMS przed 26.0.0 zawierają podatność umożliwiającą uwierzytelnionemu atakującemu nadpisanie plików konfiguracyjnych i wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna, ponieważ pozwala na pełne przejęcie kontroli nad serwerem aplikacji.

Pokaż oryginał (EN)

HAX CMS helps manage microsite universe with PHP or NodeJs backends. The PHP version of HAX CMS prior to version 26.0.0 has an authenticated file overwrite vulnerability. An attacker can exploit this vulnerability to configure malicious Git filter commands and achieve code execution on the HAX CMS server. Version 26.0.0 patches the issue.

🤖 Analiza AI
Jak działa

Uwierzytelniony użytkownik może wykorzystać podatność nadpisania pliku (authenticated file overwrite) do zmodyfikowania konfiguracji Git, wstrzykując złośliwe polecenia jako filtry Git (Git filter commands). Gdy skonfigurowane filtry zostaną uruchomione przez serwer, wstrzyknięte polecenia są wykonywane w kontekście procesu serwerowego HAX CMS. Jest to klasyczny scenariusz command injection (CWE-78) wynikający z braku odpowiedniej kontroli nad zewnętrznie konfigurowalnymi parametrami (CWE-15, CWE-73).

Skutki

Atakujący z dostępem do konta użytkownika może uzyskać zdalne wykonanie kodu (RCE) na serwerze HAX CMS, co może prowadzić do pełnego przejęcia serwera, kradzieży danych oraz dalszego lateral movement w sieci.

Mitygacja

Należy zaktualizować PHP wersję HAX CMS do wersji 26.0.0, która zawiera patch rozwiązujący opisany problem. Szczegóły dostępne w referencjach producenta: https://github.com/haxtheweb/issues/security/advisories/GHSA-q759-vxg8-vq5j

Kogo dotyczy

PHP wersja HAX CMS wcześniejsza niż 26.0.0

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje