Vulnerabilidad en HAX CMS NodeJS (CVE-2025-54137)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

22/07/2025

Última modificación:

22/08/2025

Descripción

HAX CMS NodeJS permite a los usuarios gestionar su universo de micrositios con un backend NodeJS. Las versiones 11.0.9 y anteriores se distribuyeron con credenciales predeterminadas predefinidas para las cuentas de usuario y superusuario. Además, la aplicación cuenta con claves privadas predeterminadas para los JWT. No se solicita a los usuarios que cambien las credenciales ni los secretos durante la instalación, y no es posible cambiarlos a través de la interfaz de usuario. Un atacante no autenticado puede leer las credenciales de usuario predeterminadas y las claves privadas JWT de los repositorios públicos de GitHub de haxtheweb. Estas credenciales y claves se pueden utilizar para acceder a instancias autoalojadas no configuradas de la aplicación, modificar sitios y realizar otros ataques. Esto se solucionó en la versión 11.0.10.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo