CVE-2026-40174 in Masa
Tóm tắt
Bởi VulDB • 10/05/2026
Masa CMS là một hệ thống quản lý nội dung được phân nhánh từ Mura CMS. Trong các phiên bản 7.5.2 và các phiên bản cũ hơn, hàm cUsers.updateAddress không xác thực đúng các mã thông báo chống CSRF (anti-CSRF tokens) cho các thao tác quản lý địa chỉ người dùng.
Một kẻ tấn công có thể lừa một quản trị viên đã đăng nhập gửi một yêu cầu giả mạo nhằm thêm, sửa đổi hoặc xóa các bản ghi địa chỉ người dùng, bao gồm cả địa chỉ email và số điện thoại. Điều này có thể được sử dụng để thay đổi thông tin liên hệ, chuyển hướng các thông tin liên lạc của tổ chức và làm hỏng dữ liệu địa chỉ trong thư mục người dùng. Vấn đề này đã được khắc phục trong các phiên bản 7.2.10, 7.3.15, 7.4.10 và 7.5.3. Làm biện pháp khắc phục tạm thời, hãy hạn chế truy cập vào phần quản trị backend, sử dụng cô lập trình duyệt cho các phiên quản trị hoặc triển khai các quy tắc lọc để chặn các yêu cầu giả mạo đến điểm cuối bị ảnh hưởng.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.