CVE-2025-66492

Nome do Software Vulnerável e Versões Afetadas Masa CMS versões 7.2.8 e anteriores Masa CMS versões 7.3.1 a 7.3.13 Masa CMS versões 7.4.0-alpha.1 a 7.4.8 Masa CMS versões 7.5.0 a 7.5.1

Descrição O Masa CMS, uma plataforma de Gerenciamento de Conteúdo Corporativo de código aberto, é suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS). O problema ocorre quando um valor não sanitizado do parâmetro de consulta da URL ajax é incluído diretamente na seção <head> da página HTML. Isso permite que um atacante execute scripts arbitrários dentro da sessão do usuário, potencialmente levando a Sequestro de Sessão, Roubo de Dados, Defacement e Distribuição de Malware. O parâmetro ajax é vulnerável à inclusão de código malicioso.

Recomendações Masa CMS versão 7.2.9 ou posterior Masa CMS versão 7.3.14 ou posterior Masa CMS versão 7.4.9 ou posterior Masa CMS versão 7.5.2 ou posterior Configure uma regra de Web Application Firewall (WAF), como o ModSecurity, para bloquear requisições contendo caracteres comuns de payload XSS no parâmetro de consulta ajax. Implemente sanitização no lado do servidor usando middleware para remover ou escapar caracteres perigosos do parâmetro ajax antes que ele alcance a lógica de renderização vulnerável.