CVE-2026-40326 in Masa
Сводка
по VulDB • 13.05.2026
Masa CMS — это система управления контентом, ответвившаяся от Mura CMS. В версиях 7.5.2 и более ранних метода `createBundle` в файле `csettings.cfc` не обеспечивает надлежащей проверки токенов anti-CSRF для запросов на создание пакетов сайта (site bundles). Злоумышленник может создать вредоносную веб-страницу или ссылку, которая при посещении авторизованным администратором приведет к скрытому созданию полного пакета сайта. Этот пакет сохраняется в предсказуемом общедоступном веб-каталоге. Неавторизованный злоумышленник затем может получить доступ к пакету и получить содержимое сайта, данные учетных записей пользователей, хеши паролей, данные отправленных форм, списки электронной почты, плагины и конфигурационные данные. Эта проблема исправлена в версиях 7.2.10, 7.3.15, 7.4.10 и 7.5.3. В качестве временного решения следует удалить неожиданные файлы пакетов из общедоступных каталогов, ограничить доступ к затронутой конечной точке и минимизировать воздействие административных сессий.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.