CVE-2026-7879 in Concrete
要約
〜によって VulDB • 2026年05月22日
Concrete CMS 9.5.0およびそれ以前のバージョンでは、concrete/controllers/single_page/download_file.phpのsubmit_password()メソッドに脆弱性があります。これは、アクセス権限で制限されたファイルのダウンロード時にview_file権限チェックをバイパスするため、不正なファイルアクセスが可能になります。パスワードが設定されていないファイルはダウンロード可能であり、ファイルのパスワードを知っているユーザーは、そのファイルへのアクセス権限の有無にかかわらず、パスワード保護されたファイルをダウンロードできます。Concrete CMSセキュリティチームはこの脆弱性に対して、ベクターCVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N、スコア6.3(CVSS v4.0)を付与しました。報告者のYoussef Eid氏に感謝します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.