CVE-2026-8236 in Concrete情報

要約

〜によって VulDB • 2026年05月30日

Concrete CMS 9.5.0 およびそれ以前のバージョンには、IDOR と認証ゲートの欠如が組み合わさった脆弱性が存在します。エンドポイント `/ccm/system/dialogs/file/usage/{fID}` は、URL 内の整数ファイル ID を受け取り、GET リクエストを送信する誰でも内部サイト構造データ（ページ ID、バージョン、URL パス）を返します。Concrete CMS のセキュリティチームは、この脆弱性に対して CVSS v4.0 スコア 6.3（ベクター: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N）を付与しました。報告者の Winston Crooker に感謝します。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

ConcreteCMS

予約する

2026年05月09日

公開

2026年05月22日

モデレーション

承諾済み

エントリ

VDB-365105

CPE

準備完了

CWE

CWE-862 (確認済み)

CVSS

5.3 (VulDB)

EPSS

0.00089

KEV

いいえ

アクティビティ

非常低い

セクター

Hostingprovider, Agriculture, ...

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8236
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8236
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8236/

◂ 前概要次 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!