CVE-2025-49141

Nome do Software Vulnerável e Versões Afetadas Versões do HAX CMS PHP anteriores a 11.0.3

Descrição O problema refere-se à funcionalidade gitImportSite, que obtém uma string de URL de uma requisição POST e valida insuficientemente a entrada do usuário. Isso permite que um atacante autenticado construa uma string de URL que contorna as verificações de validação, possibilitando a execução de comandos arbitrários do SO no servidor de back-end. O atacante pode exfiltrar a saída do comando via uma requisição HTTP. A função set remote passa a entrada do usuário para proc open, resultando em injeção de comandos do SO.

Recomendações Para versões anteriores a 11.0.3, atualize para a versão 11.0.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade gitImportSite até que um patch seja aplicado. Além disso, restringir o uso da função set remote e chamadas proc open com entrada de usuário não validada pode ajudar a minimizar o risco de exploração.