Zurück zur Liste

HAXcms: Private Key Disclosure via Broken HMAC Implementation — CVE-2026-46395

GitHub · GitHub · CVE-2026-46395

ID
CVE-2026-46395
Datum
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
critical
CVSS
9.3

Zusammenfassung

### Summary The `hmacBase64()` function in the HAXcms Node.js backend contains two critical cryptographic implementation errors that together allow any unauthenticated attacker to extract the system’s private signing key and forge arbitrary admin-level JSON Web Tokens (JWTs) allowing them to get full admin access with a single HTTP request. ### Details Bug 1: Hardcoded HMAC Key (line 2160): The function passes the…

Produkt

npm: @haxtheweb/haxcms-nodejs

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21