CVE-2026-40326 in Masaالمعلومات

الملخص

بحسب VulDB • 04/06/2026

Masa CMS هو نظام إدارة محتوى مشتق من Mura CMS. في الإصدارات 7.5.2 والإصدارات الأقدم، لا تقوم طريقة `createBundle` الموجودة في الملف `csettings.cfc` بالتحقق بشكل صحيح من رموز مكافحة CSRF (Cross-Site Request Forgery) الخاصة بطلبات إنشاء حزم الموقع. يمكن لمهاجم إنشاء صفحة ويب خبيثة أو رابط، وعند زيارتها من قبل مسؤول مسجل الدخول، يتم إنشاء حزمة موقع شاملة بشكل صامت. يتم حفظ هذه الحزمة في دليل ويب عام يمكن الوصول إليه بشكل متوقع. يمكن لمهاجم غير مصادق عليه بعد ذلك استرداد الحزمة والحصول على محتوى الموقع، وبيانات حسابات المستخدمين، وتجزئات كلمات المرور، وإرسالات النماذج، وقوائم البريد الإلكتروني، والإضافات، وبيانات التكوين. تم إصلاح هذه المشكلة في الإصدارات 7.2.10، و7.3.15، و7.4.10، و7.5.3. كحل بديل، قم بإزالة ملفات الحزم غير المتوقعة من الدلائل العامة، وقيد الوصول إلى النقطة النهائية المتأثرة، وحدد من تعرض جلسات الإدارة.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

10/04/2026

إفشاء

06/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361730

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

4.3 (VulDB)

EPSS

0.00033

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider, Lawfirm, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40326
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40326
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40326/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!