Критична вразливість у HAX CMS Node.js дозволяє викрадення приватного ключа та повний адміністраторський доступ
Критична вразливість у HAX CMS Node.js дозволяє викрадення приватного ключа та повний адміністраторський доступ. Оновіть до версії 26.0.0 для захисту.
- CVSS
- 9.3 CRITICAL
- EPSS
- 21.22%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У версіях HAX CMS до 26.0.0 функція hmacBase64() у Node.js бекенді містить дві критичні криптографічні помилки, що дозволяють неавторизованому зловмиснику отримати приватний ключ підпису та створювати адміністративні JWT токени. Це дає змогу отримати повний адміністраторський доступ через один HTTP-запит.
Бізнес-вплив
Вразливість дозволяє зловмисникам обходити автентифікацію та отримувати повний контроль над системою HAX CMS, що може призвести до компрометації даних, зміни контенту та порушення роботи сервісів. Для власників інфраструктури це означає високий ризик безпеки та необхідність термінового реагування для запобігання потенційним атакам.
Рекомендовані дії адміністратора
Рекомендується негайно оновити HAX CMS до версії 26.0.0 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до /system/api/connectionSettings, провести аудит логів на предмет підозрілої активності та переглянути політики безпеки для зменшення ризиків. Важливо також інформувати команду розробки про необхідність перевірки криптографічних функцій.