CVE-2026-3452 in Concreteinformación

Resumen

por MITRE • 2026-03-04

Concrete CMS en versiones anteriores a la 9.4.8 es vulnerable a ejecución remota de código mediante inyección de objetos PHP almacenados en el bloque Express Entry List a través del parámetro columns. Un administrador autenticado puede almacenar datos serializados controlados por el atacante en campos de configuración de bloques que posteriormente se pasan a unserialize() sin restricciones de clase ni comprobaciones de integridad. El equipo de seguridad de Concrete CMS asignó a esta vulnerabilidad una puntuación CVSS v.4.0 de 8.9 con el vector CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H. Gracias a YJK ( @YJK0805 https://hackerone.com/yjk0805 ) de ZUSO ART https://zuso.ai/ por informar.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

ConcreteCMS

Reservar

2026-03-02

Divulgación

2026-03-04

Moderación

aceptado

Artículo

VDB-348616

CPE

listo

EPSS

0.00273

KEV

no

Actividades

muy bajo

Sector

Hostingprovider, Lawfirm, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3452
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3452
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3452/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!