CVE-2026-40331

Nome do Software Vulnerável e Versões Afetadas Masa CMS versões 7.2.0 a 7.2.9 Masa CMS versões 7.3.0 a 7.3.14 Masa CMS versões 7.4.0 a 7.4.9 Masa CMS versões 7.5.0 a 7.5.2

Descrição A API JSON não autenticada aceita um parâmetro altTable que é armazenado através do método setAltTable() sem validação ou sanitização. Este valor é injetado diretamente em uma cláusula SQL FROM dentro do feedGateway.cfc. Um invasor não autenticado pode passar uma subconsulta arbitrária no parâmetro altTable para ler dados sensíveis de qualquer tabela no banco de dados em uma única requisição HTTP, incluindo credenciais administrativas e tokens de redefinição de senha.

Recomendações Atualizar as versões 7.2.0 a 7.2.9 para 7.2.10. Atualizar as versões 7.3.0 a 7.3.14 para 7.3.15. Atualizar as versões 7.4.0 a 7.4.9 para 7.4.10. Atualizar as versões 7.5.0 a 7.5.2 para 7.5.3. Aplicar validação à função setAltTable() em core/mura/content/feed/feedBean.cfc para restringir a entrada a nomes de tabela alfanuméricos simples. Desativar a API JSON se não for necessária.