Vulnerabilities ›

CVE-2025-15456

High ⚡ Exploit Available

MiniCMS Authentication Bypass Vulnerability in Page Editor (CVE-2025-15456)

CWE-287 — Weakness Type

                    Published: Jan 5, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.3

🔗 NVD Official

📄 Description (English)

A vulnerability has been found in bg5sbk MiniCMS up to 1.8. The affected element is an unknown function of the file /mc-admin/page-edit.php of the component Publish Page Handler. Such manipulation leads to improper authentication. The attack may be performed from remote. The exploit has been disclosed to the public and may be used. The existence of this vulnerability is still disputed at present. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

A critical authentication bypass vulnerability (CWE-287) has been identified in bg5sbk MiniCMS versions up to 1.8, specifically in the /mc-admin/page-edit.php file of the Publish Page Handler component. The vulnerability allows remote attackers to bypass authentication mechanisms, with a CVSS score of 7.3 (High). Public exploits are available, and the vendor has not responded to disclosure attempts.

📄 Description (Arabic)

تؤثر هذه الثغرة الأمنية على نظام إدارة المحتوى MiniCMS في الإصدارات حتى 1.8، حيث توجد نقطة ضعف في آلية المصادقة ضمن معالج تحرير ونشر الصفحات الإدارية. يمكن للمهاجمين استغلال هذه الثغرة عن بُعد للوصول غير المصرح به إلى وظائف إدارية حساسة دون الحاجة لبيانات اعتماد صحيحة. تكمن خطورة الثغرة في توفر استغلالات عامة وعدم استجابة المورّد لإصدار تصحيحات أمنية، مما يترك الأنظمة المتأثرة عرضة للاختراق. تتطلب الثغرة اهتماماً فورياً من المؤسسات التي تستخدم هذا النظام لحماية بياناتها وأصولها الرقمية.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة حرجة في تجاوز المصادقة (CWE-287) في نظام bg5sbk MiniCMS حتى الإصدار 1.8، تحديداً في ملف /mc-admin/page-edit.php ضمن مكون معالج نشر الصفحات. تسمح الثغرة للمهاجمين عن بُعد بتجاوز آليات المصادقة، بدرجة خطورة CVSS 7.3 (عالية). تتوفر استغلالات عامة للثغرة، ولم يستجب المورّد لمحاولات الإفصاح.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:23

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using MiniCMS for content management face significant risk of unauthorized administrative access and potential data breaches. Given the availability of public exploits and lack of vendor patches, affected systems are highly vulnerable to immediate exploitation, particularly impacting government portals, educational institutions, and SMEs using this CMS platform.

🏢 Affected Saudi Sectors

القطاع الحكومي التعليم العالي والجامعات الشركات الصغيرة والمتوسطة المؤسسات الإعلامية والنشر الرقمي القطاع الخاص - خدمات الويب المنظمات غير الربحية

🎯 MITRE ATT&CK Techniques

T1078 T1190 T1133 T1212 T1550

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately isolate or disable all MiniCMS installations (versions ≤1.8) from public internet access and implement network segmentation with strict firewall rules allowing only authorized IP addresses to access administrative interfaces

2. Deploy Web Application Firewall (WAF) rules to block suspicious requests targeting /mc-admin/page-edit.php and implement multi-factor authentication (MFA) at the network perimeter level for all administrative access attempts

3. Migrate to actively maintained and secure CMS alternatives (WordPress, Joomla, Drupal) with proper security support, or implement custom authentication wrapper with strong session management and input validation until migration is complete

🔧 خطوات المعالجة (العربية)

1. عزل أو تعطيل جميع تثبيتات MiniCMS (الإصدارات ≤1.8) فوراً عن الوصول العام للإنترنت وتطبيق تجزئة الشبكة مع قواعد جدار حماية صارمة تسمح فقط لعناوين IP المصرح بها بالوصول إلى الواجهات الإدارية

2. نشر قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات المشبوهة المستهدفة لملف /mc-admin/page-edit.php وتطبيق المصادقة متعددة العوامل (MFA) على مستوى محيط الشبكة لجميع محاولات الوصول الإداري

3. الانتقال إلى بدائل أنظمة إدارة محتوى مدعومة وآمنة (WordPress أو Joomla أو Drupal) مع دعم أمني مناسب، أو تطبيق غلاف مصادقة مخصص مع إدارة جلسات قوية والتحقق من المدخلات حتى اكتمال الترحيل

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Access Control) ECC-1-3 (Authentication Management) ECC-2-1 (Vulnerability Management) ECC-3-1 (Security Monitoring) ECC-5-1 (Patch Management)

🔵 SAMA CSF

CCC-1.1 (Asset Management) CCC-2.1 (Access Control) CCC-2.2 (Authentication Mechanisms) CCC-4.1 (Vulnerability Assessment) CCC-6.1 (Security Monitoring)

🟡 ISO 27001:2022

A.9.1.1 (Access Control Policy) A.9.2.1 (User Registration) A.9.4.1 (Information Access Restriction) A.12.6.1 (Technical Vulnerability Management) A.18.2.3 (Technical Compliance Review)

🔗 References & Sources 4

🔗

https://github.com/ueh1013/VULN/issues/13

cna@vuldb.com

Exploit Issue Tracking Third Party Advisory

🔗

https://vuldb.com/?ctiid.339489

cna@vuldb.com

Permissions Required VDB Entry

🔗

https://vuldb.com/?id.339489

cna@vuldb.com

Third Party Advisory VDB Entry

🔗

https://vuldb.com/?submit.725138

cna@vuldb.com

Third Party Advisory VDB Entry

📦 Affected Products / CPE 1 entries

1234n:minicms

📊 CVSS Score

7.3

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity High

CVSS Score7.3

CWECWE-287

EPSS0.24%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-05

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-287

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-15456

Introduce Yourself

Sign In Required