Vulnerabilidad en MuraCMS (CVE-2025-55043)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

18/03/2026

Última modificación:

20/03/2026

Descripción

MuraCMS hasta la versión 10.1.10 contiene una vulnerabilidad CSRF en la funcionalidad de creación de paquetes (método createBundle de csettings.cfc) que permite a atacantes no autenticados forzar a los administradores a crear y guardar paquetes de sitio que contienen datos sensibles en directorios de acceso público. Esta vulnerabilidad permite la exfiltración completa de datos, incluyendo cuentas de usuario, hashes de contraseñas, envíos de formularios, listas de correo electrónico, plugins y contenido del sitio, sin el conocimiento del administrador. Esta vulnerabilidad CSRF permite la exfiltración completa de datos de instalaciones de MuraCMS sin requerir autenticación. Los atacantes pueden forzar a los administradores a crear paquetes de sitio sin saberlo, que contienen datos sensibles, los cuales se guardan en directorios web de acceso público. El ataque se ejecuta silenciosamente, dejando a los administradores sin saber que la información confidencial ha sido comprometida y está disponible para descarga no autorizada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno