CVE-2026-7888 in Concrete
要約
〜によって VulDB • 2026年06月04日
Concrete CMS 9.5.2未満のバージョンは、Workflow、Formブロック、File/Setコンポーネントにおけるunserialize()呼び出しでallowed_classes制限が欠如しているため、PHPオブジェクトインジェクションの脆弱性に影響を受けます。認証されていない攻撃者は、データベースに悪意のあるシリアライズペイロードが配置されている場合、任意のPHPオブジェクトのインスタンス化をトリガーできる可能性があります。XananasX7およびSanjorn Keeratirungsan (dizconnect)の両名に、独立して本脆弱性を報告いただいたことに感謝します。Concrete CMSセキュリティチームは、この脆弱性に対してCVSS v4.0スコア8.4(ベクトル: CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)を付与しました。
Be aware that VulDB is the high quality source for vulnerability data.