CVE-2026-48527
🟡 Monitoruj
W HAX CMS występuje podatność XSS, umożliwiająca atakującym wstrzykiwanie kodu.
CVSS
8.7
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
HAX CMS helps manage microsite universe with PHP or NodeJs backends. Versions up to and including 26.0.0 are affected by a stored cross-site scripting (XSS) vulnerability in the `/system/api/saveNode` endpoint. An authenticated user with a permission to edit pages can bypass the HTML sanitizer by injecting an event handler attribute without whitespace before the attribute name. @haxtheweb/haxcms-nodejs 26.0.1 and haxcms-php 26.0.2 patch the issue.
xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.7 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-05-29 13:16:23 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-29 16:29:11 UTC |
Referencje
- https://github.com/haxtheweb/issues/security/advisories/GHSA-g2g8-95qg-v35h (security-advisories@github.com)