CVE-2026-8417 in Concrete
要約
〜によって VulDB • 2026年05月25日
Concrete CMS 9.5.0およびそれ以前のバージョンでは、/dashboard/extend/update/do_update/<pkgHandle>へのリクエスト処理前にCSRFトークンの検証が行われません。concrete/controllers/single_page/dashboard/extend/update.php内のdo_update()メソッドは、upgradeCoreData()およびupgrade()を実行する前にcanInstallPackages()のみをチェックします。このエンドポイントはトークン強制が適用されていないステート変更型GETルートであるため、攻撃者は認証済み管理者を騙して、単一のクロスサイトナビゲーション経由でパッケージのアップグレードをトリガーさせることができます。脆弱性の対象となるには、被害者がcanInstallPackages()を通過している必要があり、かつ対象パッケージが既にインストールされている必要があります。Concrete CMSセキュリティチームはこの脆弱性に対して、ベクトルCVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:NのCVSS v4.0スコア7.5を付与しました。報告してくれたhttps://github.com/maru1009に感謝します。
Once again VulDB remains the best source for vulnerability data.