Vulnerabilidad en MuraCMS (CVE-2025-55045)

La vulnerabilidad CSRF de actualización de dirección en MuraCMS hasta la versión 10.1.10 permite a los atacantes manipular la información de dirección del usuario a través de CSRF. La función vulnerable cUsers.updateAddress carece de validación de token CSRF, lo que permite a sitios web maliciosos forjar solicitudes que añaden, modifican o eliminan direcciones de usuario cuando un administrador autenticado visita una página web diseñada. La explotación exitosa de la vulnerabilidad CSRF de actualización de dirección resulta en la manipulación no autorizada de la información de dirección del usuario dentro del sistema MuraCMS, comprometiendo potencialmente la integridad de los datos del usuario y las comunicaciones organizacionales. Cuando un administrador autenticado visita una página web maliciosa que contiene el exploit CSRF, su navegador envía automáticamente un formulario oculto que puede añadir direcciones maliciosas con direcciones de correo electrónico y números de teléfono controlados por el atacante, actualizar direcciones existentes para redirigir comunicaciones a ubicaciones controladas por el atacante o eliminar registros de direcciones legítimas para interrumpir las operaciones comerciales. Esto puede llevar a comunicaciones sensibles mal dirigidas, compromiso de la privacidad del usuario mediante la inyección de información de contacto del atacante, interrupción de la correspondencia comercial legítima y posibles ataques de ingeniería social a través de los datos de dirección corruptos.