Krytyczna luka w HAX CMS Node.js umożliwia przejęcie klucza prywatnego i pełnej kontroli admina
Krytyczna luka w HAX CMS Node.js pozwala na wykradzenie klucza prywatnego i pełny dostęp admina. Aktualizuj do wersji 26.0.0, aby zabezpieczyć system.
- CVSS
- 9.3 CRITICAL
- EPSS
- 21.22%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach HAX CMS Node.js przed 26.0.0 funkcja hmacBase64() zawiera poważne błędy kryptograficzne, które pozwalają nieautoryzowanemu atakującemu wyodrębnić prywatny klucz podpisujący i sfałszować tokeny JWT z uprawnieniami administratora. Luka umożliwia uzyskanie pełnego dostępu administracyjnego za pomocą pojedynczego żądania HTTP do niezabezpieczonego endpointu.
Wpływ biznesowy
Atakujący mogą przejąć pełną kontrolę nad systemem HAX CMS działającym na backendzie Node.js, co stwarza poważne ryzyko dla integralności i poufności danych oraz stabilności usług. Wykorzystanie tej luki może skutkować nieautoryzowanym dostępem do panelu administracyjnego i potencjalnym przejęciem całej infrastruktury microsite'ów. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie HAX CMS do wersji 26.0.0 lub nowszej, w której problem został usunięty. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do endpointu /system/api/connectionSettings oraz monitorować logi pod kątem podejrzanych żądań. Dodatkowo warto przeprowadzić przegląd i rotację kluczy prywatnych oraz weryfikację integralności tokenów JWT w systemie.