CVE-2026-40331 in Masainformación

Resumen

por VulDB • 2026-05-12

Masa CMS es un sistema de gestión de contenidos de código abierto. En las versiones 7.2.0 a 7.2.9, 7.3.0 a 7.3.14, 7.4.0 a 7.4.9 y 7.5.0 a 7.5.2, la API JSON no autenticada acepta un parámetro altTable que se almacena mediante el método setAltTable() sin validación ni sanitización. Este valor se inyecta directamente en una cláusula SQL FROM dentro de feedGateway.cfc. Un atacante no autenticado puede pasar una subconsulta arbitraria en el parámetro altTable para leer datos sensibles de cualquier tabla en la base de datos en una única solicitud HTTP, incluidas las credenciales administrativas y los tokens de restablecimiento de contraseña.

Este problema se ha corregido en las versiones 7.2.10, 7.3.15, 7.4.10 y 7.5.3. Como medida de contención, aplique validación a la función setAltTable en core/mura/content/feed/feedBean.cfc para restringir la entrada a nombres de tablas alfanuméricos simples, o deshabilite la API JSON si no es necesaria.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-11

Divulgación

2026-05-05

Moderación

aceptado

Artículo

VDB-361251

CPE

listo

EPSS

0.00060

KEV

no

Actividades

muy bajo

Sector

Hostingprovider, Agriculture, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40331
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40331
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40331/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!