CVE-2026-24352

PluXml CMS allows a user's session identifier to be set before authentication. The value of this session ID stays the same after authentication. This behaviour enables an attacker to fix a session ID for a victim and later hijack the authenticated session. The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only versions 5.8.21 and 5.9.0-rc7 were tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.

CVSS v3 9.8 CRITICAL

9.8^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://cert.pl/posts/2026/03/CVE-2026-24350	Broken Link
https://pluxml.org/	Product

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:pluxml:pluxml:5.8.21:::::::*
	cpe:2.3:a:pluxml:pluxml:5.9.0:rc7::::::

History

19 May 2026, 22:16

Type	Values Removed	Values Added
Summary		(es) PluXml CMS permite que el identificador de sesión de un usuario sea establecido antes de la autenticación. El valor de este ID de sesión permanece igual después de la autenticación. Este comportamiento permite a un atacante fijar un ID de sesión para una víctima y luego secuestrar la sesión autenticada. Se notificó al proveedor con antelación sobre esta vulnerabilidad, pero no respondió dando los detalles de la vulnerabilidad ni el rango de versiones vulnerables. Solo se probaron las versiones 5.8.21 y 5.9.0-rc7 y se confirmó que eran vulnerables; no se probaron otras versiones por lo que también podrían ser vulnerables.
CPE	cpe:2.3:a:pluxml:pluxml:5.8.9:rc7::::::	cpe:2.3:a:pluxml:pluxml:5.9.0:rc7::::::

27 Feb 2026, 18:36

Type	Values Removed	Values Added
References	~~() https://cert.pl/posts/2026/03/CVE-2026-24350 -~~	() https://cert.pl/posts/2026/03/CVE-2026-24350 - Broken Link
References	~~() https://pluxml.org/ -~~	() https://pluxml.org/ - Product
CPE		cpe:2.3:a:pluxml:pluxml:5.8.21:::::::* cpe:2.3:a:pluxml:pluxml:5.8.9:rc7::::::
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 9.8
First Time		Pluxml pluxml Pluxml

27 Feb 2026, 12:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-27 12:16

Updated : 2026-05-19 22:16

NVD link : CVE-2026-24352

Mitre link : CVE-2026-24352

CVE.ORG link : CVE-2026-24352

JSON object : View

Products Affected

pluxml

pluxml

CWE

CWE-384

Session Fixation

9.8 /10