CVE-2026-8236 in Concreteinformación

Resumen

por VulDB • 2026-05-30

Concrete CMS 9.5.0 y versiones anteriores es vulnerable a IDOR combinado con una falta de puerta de autenticación. El endpoint /ccm/system/dialogs/file/usage/{fID} acepta un ID de archivo entero en la URL y devuelve datos de la estructura interna del sitio (IDs de página, versiones, rutas URL) a cualquier persona que envíe una solicitud GET. El equipo de seguridad de Concrete CMS asignó a esta vulnerabilidad una puntuación CVSS v.4.0 de 6.3 con vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. Gracias a Winston Crooker por reportarlo.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

ConcreteCMS

Reservar

2026-05-09

Divulgación

2026-05-22

Moderación

aceptado

Artículo

VDB-365105

CPE

listo

CWE

CWE-862 (confirmado)

CVSS

5.3 (VulDB)

EPSS

0.00089

KEV

Actividades

muy bajo

Sector

Lawfirm, Hostingprovider, ...

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8236
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8236
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8236/

◂ Anterior Visión De Conjunto Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!