CVE-2026-8134 in Concreteinformación

Resumen

por VulDB • 2026-05-21

Concrete CMS 9.5.0 y versiones anteriores no sanitiza las secuencias de traversal de ruta en el campo ptComposerFormLayoutSetControlCustomTemplate al guardar las disposiciones de formularios del composer de tipos de página. Un administrador malintencionado autenticado con derechos de edición de formularios del composer puede explotar esto para incluir archivos legibles arbitrarios en el servidor. Combinado con la validación de extensión del uploader de archivos (que permite código PHP en archivos guardados con extensiones de imagen como .png), esto puede resultar en una ejecución remota de código (RCE) autenticada. El equipo de seguridad de Concrete CMS otorgó a esta vulnerabilidad una puntuación CVSS v.4.0 de 9.4 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H. Gracias a Yonatan Drori (Tenzai) por reportarlo.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

ConcreteCMS

Reservar

2026-05-07

Divulgación

2026-05-22

Moderación

aceptado

Artículo

VDB-365075

CPE

listo

EPSS

0.00533

KEV

no

Actividades

muy bajo

Sector

Lawfirm, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8134
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8134
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8134/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!