Vulnerabilidad en HAX CMS PHP (CVE-2025-49139)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/06/2025

Última modificación:

20/06/2025

Descripción

HAX CMS PHP permite a los usuarios gestionar su universo de micrositios con un backend PHP. Antes de la versión 11.0.0, en el editor de sitios HAX, los usuarios podían crear un bloque de sitio web para cargar otro sitio en un iframe. La aplicación permite introducir una URL de destino en el bloque de sitio web. Al visitar el sitio HAX, el navegador del cliente consultará la URL proporcionada. Un atacante autenticado puede crear un sitio HAX con un bloque de sitio web que apunte a un servidor controlado por el atacante que ejecute Responder o una herramienta similar. Posteriormente, el atacante puede realizar un ataque de phishing convenciendo a otro usuario de que visite su sitio HAX malicioso para obtener credenciales. La versión 11.0.0 incluye un parche para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:haxtheweb:haxcms-nodejs::::::node.js::*		11.0.0 (excluyendo)
cpe:2.3:a:haxtheweb:haxcms-php::::::::		11.0.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en HAX CMS PHP (CVE-2025-49139)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información