CVE-2026-40331 in Masaजानकारी

सारांश

द्वारा VulDB • 21/05/2026

Masa CMS एक ओपन सोर्स कंटेंट मैनेजमेंट सिस्टम है। संस्करण 7.2.0 से 7.2.9, 7.3.0 से 7.3.14, 7.4.0 से 7.4.9, और 7.5.0 से 7.5.2 तक, अनऑथेंटिकेटेड JSON API एक altTable पैरामीटर स्वीकार करता है जो setAltTable() विधि के माध्यम से बिना किसी सत्यापन या सैनिटाइज़ेशन के संग्रहीत किया जाता है। इस मान को feedGateway.cfc में SQL FROM क्लॉज में सीधे इंजेक्ट किया जाता है। एक अनऑथेंटिकेटेड आक्रामक altTable पैरामीटर में एक मनमाना सबक्वेरी पास करके, डेटाबेस में किसी भी तालिका से संवेदनशील डेटा, जिसमें प्रशासनिक प्रमाणपत्र और पासवर्ड रीसेट टोकन शामिल हैं, को एक ही HTTP अनुरोध में पढ़ सकता है।

इस समस्या को संस्करण 7.2.10, 7.3.15, 7.4.10, और 7.5.3 में ठीक कर दिया गया है। एक वैकल्पिक उपाय के रूप में, core/mura/content/feed/feedBean.cfc में setAltTable फ़ंक्शन पर सत्यापन लागू करें ताकि इनपुट को सरल अल्फ़ान्यूमेरिक तालिका नामों तक सीमित किया जा सके, या यदि JSON API की आवश्यकता नहीं है तो इसे अक्षम कर दें।

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

GitHub M

आरक्षित करना

11/04/2026

प्रकटीकरण

05/05/2026

संयम

स्वीकृत

प्रविष्टि

VDB-361251

CPE

तैयार

CWE

CWE-89 (पुष्टि की गई)

CVSS

7.3 (VulDB)

EPSS

0.00060

KEV

नहीं

गतिविधियाँ

बहुत कम

क्षेत्र

Hostingprovider, Lawfirm, ...

स्रोत

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40331
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40331
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40331/

◂ पिछला सिंहावलोकन अगला ▸

Do you know our Splunk app?

Download it now for free!