Vulnerabilidad en MuraCMS (CVE-2025-55040)

La vulnerabilidad CSRF en el formulario de importación en MuraCMS hasta la versión 10.1.10 permite a los atacantes cargar e instalar definiciones de formularios maliciosas a través de un ataque CSRF. La función vulnerable cForm.importform carece de validación de token CSRF, lo que permite a sitios web maliciosos falsificar solicitudes de carga de archivos que instalan formularios controlados por el atacante cuando un administrador autenticado visita una página web manipulada. La explotación completa de esta vulnerabilidad requeriría que la víctima seleccione un archivo ZIP malicioso que contenga definiciones de formularios, el cual puede ser generado automáticamente por la página del exploit y utilizado para crear formularios de recopilación de datos que roban información sensible. La explotación exitosa de la vulnerabilidad CSRF en el formulario de importación podría resultar en la instalación de formularios de recopilación de datos maliciosos en el sitio web MuraCMS objetivo que pueden robar información sensible del usuario. Cuando un administrador autenticado visita una página web maliciosa que contiene el exploit CSRF y selecciona el archivo ZIP generado por el atacante, su navegador carga e instala definiciones de formularios que crean formularios legítimos que podrían ser diseñados con contenido malicioso.