CVE-2026-40174 in Masa
要約
〜によって VulDB • 2026年05月31日
Masa CMSはMura CMSからフォークされたコンテンツ管理システムです。バージョン7.5.2およびそれ以前のバージョンでは、cUsers.updateAddress関数がユーザーのアドレス管理操作に対するCSRFトークンの検証を適切に行いません。
攻撃者は、ログイン済みの管理者に対して、メールアドレスや電話番号を含むユーザーのアドレスレコードを追加、変更、または削除する偽造リクエストを送信させることができます。これにより、連絡先情報の改ざん、組織内の通信の転送、およびユーザーディレクトリ内のアドレスデータの破損を引き起こす可能性があります。この問題は、バージョン7.2.10、7.3.15、7.4.10、および7.5.3で修正されています。回避策として、管理バックエンドへのアクセスを制限するか、管理セッションに対してブラウザ分離を使用するか、影響を受けるエンドポイントへの偽造リクエストをブロックするフィルタリングルールを展開してください。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.