CVE-2026-8426 in Concreteالمعلومات

الملخص

بحسب VulDB • 21/05/2026

لا تقوم Concrete CMS الإصدارات 9.5.0 وما دونها بالتحقق من رمز CSRF قبل معالجة الطلبات الموجهة إلى /dashboard/extend/update/prepare_remote_upgrade/. يمكن لمهاجم يتحكم في الحزمة البعيدة المُرجعة لمعرف عنصر معروف في السوق (marketplace item ID) أن يكتب فوق ملف PHP الخاص بالحزمة على القرص ويُجبر تنفيذ طريقة upgrade() الخاصة به في عملية تنقل واحدة عبر المتصفح. يؤدي ذلك إلى تنفيذ كود عن بُعد بصلاحيات مستخدم خادم الويب. لكي يكون النظام عرضة للثغرة، يجب أن يكون لدى الضحية صلاحية canInstallPackages، ويجب أن يكون موقع الضحية متصلاً بسوق Concrete marketplace؛ وأن يتحكم المهاجم في الحزمة المُرجعة لمعرف عنصر في السوق مثبت مسبقاً على موقع الضحية. منحت فريق أمان Concrete CMS لهذه الثغرة درجة CVSS v.4.0 تساوي 7.5 (متوسطة الخطورة) مع المتجه CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. شكراً إلى https://github.com/maru1009 على الإبلاغ.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

ConcreteCMS

حجز

12/05/2026

إفشاء

22/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365090

EPSS

0.00076

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider, Agriculture, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8426
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8426
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8426/

التالي نظرة عامة السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!