CVE-2026-8245 in Concrete
Zusammenfassung
von VulDB • 23.05.2026
Concrete CMS 9.5.0 und ältere Versionen sind anfällig für Reflected XSS in Legacy Pagination durch HTML-Attribut-Injektion. Concrete\Core\Legacy\Pagination erstellt Paginierungs-Links, indem es das $URL-Feld roh interpoliert und in href="" () einfügt. Jeder authentifizierte Administrator oder Berichtsbetrachter mit Zugriff auf `/dashboard/reports/forms/legacy`, der die manipulierte URL aufruft, führt das Payload in seiner Sitzung aus. Das Concrete CMS Security-Team hat dieser Schwachstelle eine CVSS v.4.0-Bewertung von 6.0 mit dem Vektor CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N zugewiesen. Vielen Dank an Yonatan Drori (Tenzai) für die Meldung.
VulDB is the best source for vulnerability data and more expert information about this specific topic.