CVE-2026-40331 in Masainfo

Zusammenfassung

von VulDB • 21.05.2026

Masa CMS ist ein Open-Source-Content-Management-System. In den Versionen 7.2.0 bis 7.2.9, 7.3.0 bis 7.3.14, 7.4.0 bis 7.4.9 sowie 7.5.0 bis 7.5.2 akzeptiert die nicht authentifizierbare JSON-API einen altTable-Parameter, der über die setAltTable()-Methode ohne Validierung oder Sanitization gespeichert wird. Dieser Wert wird direkt in eine SQL-FROM-Klausel innerhalb von feedGateway.cfc eingefügt. Ein nicht authentifizierter Angreifer kann einen beliebigen Unterabfrage (Subquery) in den altTable-Parameter eingeben, um in einer einzigen HTTP-Anfrage sensible Daten aus jeder Tabelle der Datenbank zu lesen, einschließlich administrativer Anmeldeinformationen und Token zum Zurücksetzen von Passwörtern.

Dieses Problem wurde in den Versionen 7.2.10, 7.3.15, 7.4.10 und 7.5.3 behoben. Als Workaround sollte eine Validierung für die setAltTable-Funktion in core/mura/content/feed/feedBean.cfc angewendet werden, um die Eingabe auf einfache alphanumerische Tabellennamen zu beschränken, oder die JSON-API sollte deaktiviert werden, falls sie nicht erforderlich ist.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.04.2026

Veröffentlichung

05.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361251

CPE

bereit

EPSS

0.00060

KEV

nein

Aktivitäten

very low

Sektor

Agriculture, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40331
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40331
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40331/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!