CVE-2025-54129

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-54129
HAXiam is a packaging wrapper for HAXcms which allows anyone to spawn their own microsite management platform. In versions 11.0.4 and below, the application returns a 200 response when requesting the data of a valid user and a 404 response when requesting the data of an invalid user. This can be used to infer the existence of valid user accounts. An authenticated attacker can use automated tooling to brute force potential usernames and use the application's response to identify valid accounts. This can be used in conjunction with other vulnerabilities, such as the lack of authorization checks, to enumerate and deface another user's sites. This is fixed in version 11.0.5.

4.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/haxtheweb/issues/security/advisories/GHSA-wh3h-vfcv-m5g5 Third Party Advisory Exploit
Configurations

Configuration 1 (hide)

cpe:2.3:a:psu:haxiam:*:*:*:*:*:*:*:*
History

22 Aug 2025, 15:21

Type Values Removed Values Added
CPE cpe:2.3:a:psu:haxiam:*:*:*:*:*:*:*:*
First Time Psu haxiam
Psu
References () https://github.com/haxtheweb/issues/security/advisories/GHSA-wh3h-vfcv-m5g5 - () https://github.com/haxtheweb/issues/security/advisories/GHSA-wh3h-vfcv-m5g5 - Third Party Advisory, Exploit

22 Jul 2025, 13:05

Type Values Removed Values Added
Summary
  • (es) HAXiam es un envoltorio de empaquetado para HAXcms que permite a cualquiera crear su propia plataforma de gestión de micrositios. En las versiones 11.0.4 y anteriores, la aplicación devuelve una respuesta 200 al solicitar los datos de un usuario válido y una respuesta 404 al solicitar los datos de un usuario no válido. Esto permite inferir la existencia de cuentas de usuario válidas. Un atacante autenticado puede usar herramientas automatizadas para forzar nombres de usuario potenciales y usar la respuesta de la aplicación para identificar cuentas válidas. Esto puede combinarse con otras vulnerabilidades, como la falta de comprobaciones de autorización, para enumerar y desfigurar los sitios de otros usuarios. Esto se ha corregido en la versión 11.0.5.

21 Jul 2025, 21:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-07-21 21:15

Updated : 2025-08-22 15:21

NVD link : CVE-2025-54129

Mitre link : CVE-2025-54129

CVE.ORG link : CVE-2025-54129

JSON object : View

Products Affected

psu

  • haxiam
CWE
CWE-204

Observable Response Discrepancy