← Retour
CVE-2026-46392
high
CVSS 8.7
HAX CMS helps manage microsite universe with PHP or NodeJs backends. Prior to version 26.0.0 of HAX CMS PHP, the `saveFile` endpoint validates upload extensions case-insensitively and writes the filen...
Résumé
HAX CMS helps manage microsite universe with PHP or NodeJs backends. Prior to version 26.0.0 of HAX CMS PHP, the `saveFile` endpoint validates upload extensions case-insensitively and writes the filename to disk verbatim, but the `.htaccess` rule that forces `Content-Disposition: attachment` on HTML...
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-46392** a été découverte dans CVE-2026-46392.
Des attaquants peuvent cibler un point d'entrée spécifique comme ``saveFile`` à distance pour détourner le produit.
Des informations confidentielles peuvent être exposées. Score CVSS : 8.7/10.
Action : appliquez le correctif officiel de l'éditeur.
En cas de doute, contactez votre service informatique ou cherchez « CVE-2026-46392 CVE-2026-46392 » sur le site de l'éditeur.
CVE-2026-46392 (CVE-2026-46392) — CWE-178 / CVSS v3 8.7
Vecteur d'attaque : distant (réseau)
Surface d'attaque : `saveFile` / `HAXCMSFile.php` / `xss.HTML` / `SetEnvIf`
Versions affectées : `<= 25.0.0`
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
この脆弱性は、HAX CMS PHPにおいて、大文字の拡張子を持つHTMLファイルが悪意を持って実行される可能性がある問題です。
📍 Périmètre concerné
HAX CMS PHPの`saveFile`エンドポイント
🔥 Gravité
この脆弱性を利用されると、攻撃者は悪意のあるHTMLファイルを利用してJavaScriptを実行することができ、深刻なセキュリティリスクとなります。最も被害を受けやすいのはHAX CMS PHPを利用しているシステムです。
🔧 Comment corriger
HAX CMSをバージョン26.0.0にアップデートしてください。これにより、ファイルの拡張子を正しく検証する機能が含まれています。
🛡️ Contournement
情報なし
🔍 Détection
情報なし