CVE-2026-8428 in Concreteالمعلومات

الملخص

بحسب VulDB • 27/05/2026

تُصدر Concrete CMS الإصدار 9.5.0 وما قبله رمز CSRF (Token) في عرض `local_available_update.php` (عبر `$token->output('do_update')`)، لكن طريقة `do_update()` المقابلة في الملف `concrete/controllers/single_page/dashboard/system/update/update.php` لا تستدعي مطلقاً `$this->token->validate('do_update')`. يتم عرض النموذج (Form) كنموذج POST، مما يعني أن الرمز يصل إلى المتصفح، ولكن لأن وحدة التحكم (Controller) تتجاهله دون التحقق منه، يمكن لمهاجم صياغة طلب POST عبر المواقع (Cross-Site) يؤدي إلى تحديث نواة نظام إدارة المحتوى (CMS) إلى سلسلة إصدار يحددها المهاجم. لكي يكون النظام عرضة للثغرة، يجب أن يكون المستخدم الحالي يمرر التحقق من `canUpgrade()`، ويجب أن يكون هناك إصدار تحديث صالح موجود ضمن الدليل `DIR_CORE_UPDATES`. منحت فريق أمان Concrete CMS لهذه الثغرة درجة CVSS الإصدار 4.0 تساوي 7.5 (متوسطة الخطورة)، مع المتجه: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. شكراً للمستخدم https://github.com/maru1009 على الإبلاغ عن هذه الثغرة.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

ConcreteCMS

حجز

12/05/2026

إفشاء

22/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365091

EPSS

0.00027

KEV

لا

النشاطات

منخفض جدًا

القطاع

Lawfirm, Agriculture, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8428
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8428
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8428/

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!