CVE-2025-49137

Nome do Software Vulnerável e Versões Afetadas Versões do HAX CMS PHP anteriores à 11.0.0

Descrição A aplicação não sanitiza suficientemente a entrada do usuário, permitindo a execução de código JavaScript arbitrário. Os endpoints 'saveNode' e 'saveManifest' recebem entrada do usuário e a armazenam no esquema JSON do site. Este conteúdo é então renderizado no site HAX gerado. Embora a aplicação não permita que os usuários forneçam uma tag script, ela permite o uso de outras tags HTML para executar JavaScript. Um atacante autenticado pode usar o editor do site e o editor de configurações para armazenar payloads maliciosos em um site HAX que executam JavaScript arbitrário quando um usuário visita o site. Isso pode ser usado para roubar o cookie de sessão de um usuário ou outros dados sensíveis.

Recomendações Atualize para a versão 11.0.0 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso aos endpoints 'saveNode' e 'saveManifest' até que uma correção esteja disponível. Evite usar os endpoints de API https://<site>/<user>/system/api/saveNode e https://<site>/<user>/system/api/saveManifest com entrada não confiável. Restrinja o acesso ao editor de configurações do site e ao editor do site para minimizar o risco de exploração.