CVE-2026-40326 in Masainformación

Resumen

por VulDB • 2026-05-20

Masa CMS es un sistema de gestión de contenidos bifurcado de Mura CMS. En las versiones 7.5.2 y anteriores, el método `createBundle` en `csettings.cfc` no valida correctamente los tokens anti-CSRF para las solicitudes de creación de paquetes del sitio. Un atacante puede crear una página web o un enlace malicioso que, al ser visitado por un administrador autenticado, desencadene la creación silenciosa de un paquete completo del sitio. Este paquete se guarda en un directorio web públicamente accesible con un nombre predecible. Un atacante no autenticado puede entonces recuperar el paquete y obtener el contenido del sitio, datos de cuentas de usuario, hashes de contraseñas, envíos de formularios, listas de correo electrónico, complementos y datos de configuración. Este problema se ha corregido en las versiones 7.2.10, 7.3.15, 7.4.10 y 7.5.3. Como medida de mitigación, elimine los archivos de paquete no deseados de los directorios públicos, restrinja el acceso al punto final afectado y limite la exposición de las sesiones administrativas.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-10

Divulgación

2026-05-06

Moderación

aceptado

Artículo

VDB-361730

CPE

listo

EPSS

0.00033

KEV

no

Actividades

bajo

Sector

Lawfirm, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40326
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40326
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40326/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!