CVE-2024-32642 - 主机头投毒允许通过密码重置电子邮件接管账户

概述

Masa CMS是一个开源的企业内容管理平台。在7.2.8、7.3.13和7.4.6版本之前，存在主机头投毒漏洞，允许攻击者通过密码重置电子邮件接管账户。该漏洞已在7.2.8、7.3.13和7.4.6版本中修复。

发布日期： 2025年12月3日 17:15 最后修改日期： 2025年12月4日 17:15 远程可被利用：是！来源： security-advisories@github.com

以下产品受到CVE-2024-32642漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本，下表也未显示该信息。

ID	供应商	产品	操作
1	Masacms	masacms

受影响供应商总数： 1 | 产品总数： 1

通用漏洞评分系统是评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。

分数	版本	严重性	向量	可利用性评分	影响评分	来源
8.8	CVSS 3.1	高		2.8	5.9	security-advisories@github.com

更新Masa CMS至修复版本，以防止通过主机头投毒导致的账户接管。

此处，您将找到与CVE-2024-32642相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。

URL	资源
https://github.com/MasaCMS/MasaCMS/commit/7541b9c99fb9e32d1de6f2658750525cec1d8960
https://github.com/MasaCMS/MasaCMS/security/advisories/GHSA-qjm6-c8hx-ffh8

虽然CVE标识特定的漏洞实例，但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2024-32642与以下CWE相关联：

常见攻击模式枚举与分类（CAPEC）存储攻击模式，这些模式描述了攻击者利用CVE-2024-32642弱点所采用的常见属性和方法。

漏洞历史详情有助于理解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新CVE接收：由 security-advisories@github.com 于 2025年12月3日

操作	类型	新值
添加	描述	Masa CMS is an open source Enterprise Content Management platform. Prior to 7.2.8, 7.3.13, and 7.4.6, there is vulnerable to host header poisoning which allows account takeover via password reset email. This vulnerability is fixed in 7.2.8, 7.3.13, and 7.4.6.
添加	CVSS V3.1	AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
添加	CWE	CWE-640
添加	CWE	CWE-346
添加	参考	https://github.com/MasaCMS/MasaCMS/commit/7541b9c99fb9e32d1de6f2658750525cec1d8960
添加	参考	https://github.com/MasaCMS/MasaCMS/security/advisories/GHSA-qjm6-c8hx-ffh8

CVSS 3.1

攻击向量	攻击复杂度	所需权限	用户交互	范围	机密性影响	完整性影响	可用性影响
网络	低	无	需要	未更改	高	高	高