Vulnerabilidad en MASA CMS (CVE-2024-32640)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
11/08/2025
Última modificación:
15/04/2026
Descripción
MASA CMS es una plataforma de gestión de contenido empresarial basada en tecnología de código abierto. Las versiones anteriores a la 7.4.6, 7.3.13 y 7.2.8 contienen una vulnerabilidad de inyección SQL en el método `processAsyncObject` que puede provocar la ejecución remota de código. Las versiones 7.4.6, 7.3.13 y 7.2.8 incluyen una solución para este problema.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/MasaCMS/MasaCMS/commit/259fc6061d022d5025a3289a3f8de9852ad9c91d
- https://github.com/MasaCMS/MasaCMS/commit/280489e2d6c8daf5022fdb0225235462dd9d4534
- https://github.com/MasaCMS/MasaCMS/commit/3d6319b8775bb6438bc822d845926990511f5075
- https://github.com/MasaCMS/MasaCMS/security/advisories/GHSA-24rr-gwx3-jhqc
- https://github.com/Stuub/CVE-2024-32640-SQLI-MuraCMS
- https://projectdiscovery.io/blog/hacking-apple-with-sql-injection?ref=projectdiscovery-io-blog-newsletter
- https://www.seebug.org/vuldb/ssvid-99835