PT-2026-38227 · Masacms · Masacms
Highguustnieuwenhuis
·
Publicado
2026-05-06
·
Atualizado
2026-05-07
·
CVE-2026-40309
CVSS v4.0
7.2
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Masa CMS versões anteriores a 7.2.10
Masa CMS versões anteriores a 7.3.15
Masa CMS versões anteriores a 7.4.10
Masa CMS versões anteriores a 7.5.3
Description
A função
cTrash.empty() não valida tokens anti-CSRF (Cross-Site Request Forgery) para solicitações de gerenciamento de lixeira. Isso permite que um invasor induza um administrador autenticado a enviar uma solicitação forjada que esvazia a lixeira, resultando na exclusão permanente de todo o conteúdo excluído e perda irreversível de dados.Recommendations
Atualize para a versão 7.2.10.
Atualize para a versão 7.3.15.
Atualize para a versão 7.4.10.
Atualize para a versão 7.5.3.
Restrinja o acesso ao backend administrativo.
Use isolamento de navegador para sessões administrativas.
Mantenha backups atuais do banco de dados para recuperar de exclusões não autorizadas.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Masacms