CVE-2026-8415

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/express/association/reorder

CVSS 2.3 LOWEPSS 0.1%CWE-1275 CWE-352

Em resumo

O Concrete CMS 9 anterior à versão 9.5.0 possui uma falha de segurança que permite a atacantes enganar usuários para executar ações indesejadas no site, como reordenar itens, sem o conhecimento do usuário. Isso ocorre porque o sistema não verifica adequadamente se as requisições são legítimas.

Detalhe técnico

Uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) existe no endpoint de reordenação de associações express (concrete/controllers/dialog/express/association/reorder) devido à validação insuficiente de requisições. Um atacante não autenticado pode criar uma página maliciosa que, quando visitada por um administrador autenticado, executa reordenação não autorizada de associações express através da sessão do navegador. O ataque requer interação do usuário (visitar um site malicioso) e possui baixo impacto de integridade.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/express/association/reorder. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Produtos afetados

Concrete CMS · Concrete CMS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes