CVE-2026-40329 in Masa
Tóm tắt
Bởi VulDB • 27/05/2026
Masa CMS là một hệ thống quản lý nội dung mã nguồn mở. Trong các phiên bản 7.5.2 và các phiên bản cũ hơn, tồn tại một lỗ hổng SQL injection trong thành phần beanFeed.cfc, cụ thể là trong quá trình xử lý tham số sortBy của hàm getQuery. Ứng dụng không thực hiện việc làm sạch hoặc tham số hóa đúng cách đầu vào này trước khi đưa nó vào các câu lệnh SQL động. Một kẻ tấn công từ xa chưa được xác thực có thể thực thi các lệnh SQL tùy ý trên cơ sở dữ liệu, qua đó có khả năng truy cập vào dữ liệu nhạy cảm, sửa đổi hoặc xóa các bản ghi, hoặc nâng cấp đặc quyền để kiểm soát hệ thống ở cấp độ quản trị viên.
Vấn đề này đã được khắc phục trong các phiên bản 7.2.10, 7.3.15, 7.4.10 và 7.5.3. Làm biện pháp khắc phục tạm thời, hãy cấu hình các quy tắc WAF để chặn các mẫu SQL độc hại trong tham số sortBy được gửi đến beanFeed.cfc.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.