CVE-2026-40326 in Masa
요약
\~에 의해 VulDB • 2026. 05. 30.
Masa CMS는 Mura CMS에서 포크된 콘텐츠 관리 시스템입니다. 7.5.2 및 이전 버전에서 `csettings.cfc`의 createBundle 메서드는 사이트 번들 생성 요청에 대한 anti-CSRF 토큰을 적절하게 검증하지 않습니다. 공격자는 로그인된 관리자가 방문할 경우 사이트 번들이 자동으로 생성되도록 하는 악성 웹페이지나 링크를 작성할 수 있습니다. 이 번들은 예측 가능한 공개 웹 디렉토리에 저장됩니다. 이후 인증되지 않은 공격자는 번들을 검색하여 사이트 콘텐츠, 사용자 계정 데이터, 비밀번호 해시, 양식 제출 데이터, 이메일 목록, 플러그인 및 구성 데이터에 접근할 수 있습니다. 이 문제는 7.2.10, 7.3.15, 7.4.10 및 7.5.3 버전에서 수정되었습니다. 우회 조치로 공개 디렉토리에서 예기치 않은 번들 파일을 제거하고, 영향받는 엔드포인트에 대한 접근을 제한하며, 관리 세션의 노출을 최소화해야 합니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.