CVE-2026-40329 in Masa
요약
\~에 의해 VulDB • 2026. 05. 27.
Masa CMS는 오픈 소스 콘텐츠 관리 시스템입니다. 버전 7.5.2 및 이전 버전에서 getQuery 함수의 sortBy 매개변수 처리 시 beanFeed.cfc 컴포넌트 내에 SQL Injection 취약점이 존재합니다. 애플리케이션은 동적 SQL 문에 이 입력을 통합하기 전에 해당 입력을 적절히 제거하거나 파라미터화하지 않습니다. 인증되지 않은 원격 공격자는 데이터베이스에 임의의 SQL 명령을 실행하여 민감한 데이터에 접근하거나, 레코드를 수정 또는 삭제하거나, 관리 권한으로 권한 상승을 수행할 수 있습니다.
이 문제는 버전 7.2.10, 7.3.15, 7.4.10 및 7.5.3에서 수정되었습니다. 우회 조치로 beanFeed.cfc로 전송되는 sortBy 매개변수 내의 악성 SQL 패턴을 차단하기 위해 WAF 규칙을 구성하십시오.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.