CVE-2025-55043 Murasoftware — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	6,5 (MEDIUM)
Тип уязвимости	CWE-352 (Подделка межсайтовых запросов (CSRF))
Поставщик	Murasoftware
Публичный эксплойт	Нет

MuraCMS до 10.1.10 содержит CSRF-уязвимость в функции создания пакетов (метод csettings.cfc createBundle), которая позволяет неаутентифицированным злоумышленникам заставлять администраторов создавать и сохранять пакеты сайтов, содержащие конфиденциальные данные, в общедоступных каталогах. Эта уязвимость обеспечивает полную утечку данных, включая учетные записи пользователей, хэши паролей, отправку форм, списки адресов электронной почты, плагины и содержимое сайта, без ведома администратора. This CSRF vulnerability enables complete data exfiltration from MuraCMS installations without requiring authentication.

Злоумышленники могут заставить администраторов по незнанию создавать пакеты сайтов, содержащие конфиденциальные данные, которые сохраняются в общедоступных веб-каталогах. Атака осуществляется бесшумно, поэтому администраторы не знают, что конфиденциальная информация была скомпрометирована и доступна для несанкционированной загрузки.

Показать оригинальное описание (EN)

MuraCMS through 10.1.10 contains a CSRF vulnerability in the bundle creation functionality (csettings.cfc createBundle method) that allows unauthenticated attackers to force administrators to create and save site bundles containing sensitive data to publicly accessible directories. This vulnerability enables complete data exfiltration including user accounts, password hashes, form submissions, email lists, plugins, and site content without administrator knowledge. This CSRF vulnerability enables complete data exfiltration from MuraCMS installations without requiring authentication. Attackers can force administrators to unknowingly create site bundles containing sensitive data, which are saved to publicly accessible web directories. The attack executes silently, leaving administrators unaware that confidential information has been compromised and is available for unauthorized download.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-352 Cross-Site Request Forgery (CSRF) (Подделка межсайтовых запросов (CSRF))

Уязвимые продукты 1

Конфигурация	От (включительно)	До (исключительно)
Murasoftware Mura_Cms cpe:2.3:a:murasoftware:mura_cms:-:::::::*	—	—

Ссылки 2

https://docs.murasoftware.com/v10/release-notes/#section-version-1014

cve@mitre.org

https://www.murasoftware.com

cve@mitre.org

Меню

CVE-2025-55043

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 1

Ссылки 2

Связанные уязвимости

CVE-2025-67830

CVE-2025-67829

CVE-2025-55046

CVE-2025-55045

CVE-2025-55044

Сводка

Выбор редакции

Меню

CVE-2025-55043

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 1

Ссылки 2

Связанные уязвимости

CVE-2025-67830

CVE-2025-67829

CVE-2025-55046

CVE-2025-55045

CVE-2025-55044

Сводка

Выбор редакции

Будьте в курсе кибербезопасности