CVE-2026-8413

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/design

CVSS 2.3 LOWEPSS 0.1%CWE-1275 CWE-352

Em resumo

O Concrete CMS 9 anterior à versão 9.5.0 possui uma falha que permite que atacantes enganem usuários para realizar alterações indesejadas em designs em lote de páginas sem o seu conhecimento. Um atacante pode criar um link malicioso que, quando clicado por um usuário logado no CMS, modifica silenciosamente os designs das páginas.

Detalhe técnico

Vulnerabilidade de CSRF no endpoint de diálogo de design em lote (concrete/controllers/dialog/page/bulk/design) permite que um atacante forje requisições em nome de usuários autenticados. O ataque requer interação do usuário (clicar em um link malicioso) e resulta em modificação não autorizada da integridade das páginas. Não há validação de token de autenticação em operações que alteram o estado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/design. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Produtos afetados

Concrete CMS · Concrete CMS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes