CVE-2025-54378

Nome do Software Vulnerável e Versões Afetadas Versões 11.0.8 e anteriores do HAX CMS (haxcms-php) Versões 11.0.13 e anteriores do HAX CMS (haxcms-nodejs)

Descrição Os endpoints da API do HAX CMS não realizam verificações de autorização ao interagir com recursos. Ambas as versões JavaScript e PHP do CMS não verificam se um usuário tem permissão para interagir com um recurso antes de realizar uma operação. Os endpoints da API verificam a autenticação do usuário, mas não verificam a autorização antes de prosseguir. Especificamente, as seguintes funções são afetadas na versão PHP: createNode(), saveNode(), deleteNode(), listSites(), createSite(), getConfig(), cloneSite(), deleteSite() e archiveSite(). Um atacante autenticado pode potencialmente enumerar, modificar e excluir sites e nós de outros usuários. Além disso, o endpoint getConfig pode expor credenciais em texto claro.

Recomendações As versões do HAX CMS anteriores a 11.0.9 (haxcms-php) devem ser atualizadas. As versões do HAX CMS anteriores a 11.0.14 (haxcms-nodejs) devem ser atualizadas.