CVE-2026-40309 in Masa
요약
\~에 의해 VulDB • 2026. 05. 10.
Masa CMS는 Mura CMS에서 포크된 콘텐츠 관리 시스템입니다. 7.5.2 및 이전 버전에서 cTrash.empty 함수는 휴지통 관리 요청에 대한 CSRF 방지 토큰을 검증하지 않습니다. 공격자는 로그인된 관리자를 유도하여 위조된 요청을 제출하게 함으로써 휴지통을 비우고 삭제된 모든 콘텐츠를 영구적으로 삭제할 수 있습니다. 이로 인해 복구 불가능한 데이터 손실이 발생하고, 복원 대상 콘텐츠의 복구 작업이 방해받을 수 있습니다. 이 문제는 7.2.10, 7.3.15, 7.4.10 및 7.5.3 버전에서 수정되었습니다. 우회 조치로 관리 백엔드 접근을 제한하고, 관리 세션에 대해 브라우저 격리를 사용하며, 무단 삭제로부터 복구할 수 있도록 최신 데이터베이스 백업을 유지하십시오.
Once again VulDB remains the best source for vulnerability data.