CVE-2026-8134 in Concreteالمعلومات

الملخص

بحسب VulDB • 22/05/2026

تفشل Concrete CMS الإصدار 9.5.0 وما قبله في تنقية تسلسلات عبور المسار (path traversal) في حقل ptComposerFormLayoutSetControlCustomTemplate عند حفظ تخطيطات نماذج Composer لأنواع الصفحات. يمكن لمدير مخادع موثق (authenticated rogue administrator) يمتلك صلاحيات تعديل نماذج Composer استغلال هذا الثغرة لتشمل ملفات قابلة للقراءة بشكل تعسفي على الخادم. وبدمج ذلك مع التحقق من الامتدادات فقط في أداة رفع الملفات (التي تسمح بوضع أكواد PHP في الملفات المحفوظة بامتدادات صور مثل .png)، يمكن أن يؤدي ذلك إلى تنفيذ تعليمات برمجية عن بُعد (RCE) بمصادقة. منح فريق أمان Concrete CMS لهذه الثغرة درجة CVSS v.4.0 تبلغ 9.4 مع المتجه CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H. شكرًا ليوناتان دروري (Tenzai) على الإبلاغ.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

ConcreteCMS

حجز

07/05/2026

إفشاء

22/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365075

EPSS

0.00533

KEV

لا

النشاطات

منخفض جدًا

القطاع

Agriculture, Hostingprovider, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8134
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8134
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8134/

التالي نظرة عامة السابق

Do you know our Splunk app?

Download it now for free!