CVE-2025-49138

Nome do Software Vulnerável e Versões Afetadas Versões do HAX CMS PHP anteriores à 11.0.0

Descrição O problema está relacionado a uma vulnerabilidade de Inclusão Local de Arquivos (LFI) autenticada no endpoint saveOutline do HAXCMS. Esta vulnerabilidade permite que um usuário com baixos privilégios leia arquivos arbitrários no servidor manipulando o campo location gravado no site.json. Atacantes podem exfiltrar arquivos sensíveis do sistema, como /etc/passwd, segredos da aplicação ou arquivos de configuração acessíveis ao servidor web. A vulnerabilidade ocorre porque o backend do HAXCMS manipula o campo location no outline do site sem validar ou sanitizar a entrada. Quando um usuário envia uma solicitação POST para "/system/api/saveOutline", o backend armazena o valor fornecido de location diretamente no arquivo site.json associado ao site. Posteriormente, o parâmetro location é interpretado pelo CMS para resolver e carregar o conteúdo de um determinado nó. Se o campo location contiver um caminho relativo como ../../../etc/passwd, a aplicação tentará ler e renderizar esse arquivo.

Recomendações Para versões anteriores à 11.0.0, atualize para a versão 11.0.0 para corrigir o problema. Como solução temporária, considere restringir o acesso ao endpoint "/system/api/saveOutline" para minimizar o risco de exploração. Além disso, restrinja o uso do campo location no outline do site para prevenir a inclusão arbitrária de arquivos.