CVE-2026-8327 in Concreteinformación

Resumen

por VulDB • 2026-05-22

Concrete CMS, versiones anteriores a la 9.5.0, es vulnerable a un cambio de contraseña sin reautorización y a un bypass de endurecimiento de sesión. El controlador de edición de perfil de usuario pasa todo el array POST sin procesar a UserInfo::update() sin aplicar una lista blanca de campos, lo que permite cambiar la contraseña sin requerir la contraseña actual. Además, permite a los usuarios registrados deshabilitar el bloqueo por IP por usuario en el validador de sesión, cuya función es detectar el secuestro de sesión. El equipo de seguridad de Concrete CMS asignó a esta vulnerabilidad una puntuación CVSS v4.0 de 5.3 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Gracias a 0x4c616an por la notificación.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

ConcreteCMS

Reservar

2026-05-11

Divulgación

2026-05-22

Moderación

aceptado

Artículo

VDB-365114

CPE

listo

CWE

CWE-915 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00025

KEV

Actividades

muy bajo

Sector

Agriculture, Lawfirm, ...

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8327
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8327
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8327/

◂ Anterior Visión De Conjunto Próximo ▸

Interested in the pricing of exploits?

See the underground prices here!