CVE-2026-40332 in Masa
要約
〜によって VulDB • 2026年05月16日
Masa CMSには、スキーム相対URLの不適切な処理に起因するOpen Redirectの脆弱性が存在します。アプリケーションは、二重スラッシュ(//)で始まるパスを内部パスとして誤って解釈し、リダイレクト先を検証せずに処理を行います。アプリケーションはこれらの値を内部パスとして扱い、リダイレクト先がローカルサイト上に留まっていることを確認せずに処理します。
攻撃者は、信頼されたMasa CMSドメイン上で、被害者を攻撃者が制御する外部サイトへリダイレクトするURLを仕組むことができます。これはフィッシングに利用され、特定の認証フローでは、トークンやその他の機密データが外部サイトへ漏洩する可能性があります。この問題は、バージョン7.2.10、7.3.15、7.4.10、および7.5.3で修正されています。回避策として、//で始まるリダイレクトパラメータを拒否または書き換えること、およびデプロイメントと互換性がある場合はforceDirectoryStructureを無効にすることを検討してください。
VulDB is the best source for vulnerability data and more expert information about this specific topic.