Vulnerabilidad en MuraCMS (CVE-2025-55046)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

18/03/2026

Última modificación:

20/03/2026

Descripción

MuraCMS hasta la versión 10.1.10 contiene una vulnerabilidad CSRF que permite a los atacantes destruir permanentemente todo el contenido eliminado almacenado en el sistema de papelera a través de un simple ataque CSRF. La función vulnerable cTrash.empty carece de validación de token CSRF, lo que permite a sitios web maliciosos forjar solicitudes que eliminan irreversiblemente todo el contenido en la papelera cuando un administrador autenticado visita una página web creada. La explotación exitosa de la vulnerabilidad CSRF resulta en una pérdida de datos potencialmente catastrófica dentro del sistema MuraCMS. Cuando un administrador autenticado visita una página maliciosa que contiene el exploit CSRF, su navegador envía automáticamente un formulario oculto que vacía permanentemente todo el sistema de papelera sin ninguna validación, diálogo de confirmación o consentimiento del usuario.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto