CVE-2026-40326

Nome do Software Vulnerável e Versões Afetadas Masa CMS versões anteriores a 7.2.10 Masa CMS versões anteriores a 7.3.15 Masa CMS versões anteriores a 7.4.10 Masa CMS versões anteriores a 7.5.3

Descrição A função createBundle() em csettings.cfc não valida adequadamente os tokens anti-CSRF (Cross-Site Request Forgery) durante as solicitações de criação de pacotes do site. Isso permite que um invasor engane um administrador autenticado para disparar a criação silenciosa de um pacote do site por meio de uma página web ou link malicioso. O pacote resultante é armazenado em um diretório web previsível e publicamente acessível, permitindo que um invasor não autenticado recupere informações sensíveis, incluindo conteúdo do site, dados de contas de usuário, hashes de senhas, envios de formulários, listas de e-mail, plugins e dados de configuração.

Recomendações Atualize para a versão 7.2.10. Atualize para a versão 7.3.15. Atualize para a versão 7.4.10. Atualize para a versão 7.5.3. Remova arquivos de pacotes inesperados de diretórios públicos. Restrinja o acesso ao endpoint afetado. Limite a exposição de sessões administrativas.