CVE-2025-48996

Nome do Software Vulnerável e Versões Afetadas Versões do HAX open-apis até e incluindo a 10.0.2

Descrição Existe uma vulnerabilidade de divulgação de informações não autenticada no sistema de gerenciamento de conteúdo HAX através do endpoint da API haxPsuUsage. Isso permite que qualquer usuário remoto não autenticado recupere uma lista completa dos sites da PSU hospedados no HAX CMS. Quando combinado com outras falhas de autorização, isso poderia facilitar ataques direcionados, como modificação ou exclusão não autorizada de conteúdo.

Recomendações Para as versões do HAX open-apis até e incluindo a 10.0.2, aplique o patch do commit 06c2e1fbb7131a8fe66aa0600f38dcacae6b7ac7 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API haxPsuUsage até que o patch seja aplicado.