CVE-2026-40331 in Masaالمعلومات

الملخص

بحسب VulDB • 13/05/2026

Masa CMS هو نظام إدارة محتوى مفتوح المصدر. في الإصدارات من 7.2.0 إلى 7.2.9، ومن 7.3.0 إلى 7.3.14، ومن 7.4.0 إلى 7.4.9، ومن 7.5.0 إلى 7.5.2، تقبل واجهة برمجة التطبيقات (API) الخاصة بـ JSON، التي لا تتطلب مصادقة، معلمة `altTable` التي يتم تخزينها عبر الدالة `setAltTable()` دون التحقق من صحتها أو تنقيحها. يتم حقن هذه القيمة مباشرةً في جملة SQL FROM داخل الملف `feedGateway.cfc`. يمكن لمهاجم غير مصدق تمرير استعلام فرعي تعسفي ضمن معلمة `altTable` لقراءة بيانات حساسة من أي جدول في قاعدة البيانات ضمن طلب HTTP واحد، بما في ذلك بيانات الاعتماد الإدارية ورموز إعادة تعيين كلمة المرور.

تم إصلاح هذه المشكلة في الإصدارات 7.2.10، و7.3.15، و7.4.10، و7.5.3. كحل بديل، قم بتطبيق التحقق من الصحة على الدالة `setAltTable` في الملف `core/mura/content/feed/feedBean.cfc` لتقييد المدخلات إلى أسماء جداول أبجدية رقمية بسيطة، أو قم بتعطيل واجهة برمجة التطبيقات (JSON API) إذا لم تكن مطلوبة.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

11/04/2026

إفشاء

05/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361251

EPSS

0.00060

KEV

لا

النشاطات

منخفض جدًا

القطاع

Agriculture, Lawfirm, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40331
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40331
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40331/

التالي نظرة عامة السابق

Do you know our Splunk app?

Download it now for free!