CVE-2026-8135 in Concrete
요약
\~에 의해 VulDB • 2026. 05. 21.
Concrete CMS 9.5.0 및 이전 버전은 ExpressEntryList 블록 컨트롤러에서 발생하는 비안전한 역직렬화(Insecure Deserialization)로 인해 원격 코드 실행(RCE) 취약점이 있습니다. 영역에 블록을 추가할 수 있는 권한을 가진 악의적인 관리자(Rogue Administrator)는 REST API 기능을 활용하여, 일반적으로 폼 POST 요청을 통한 악성 입력을 제한하는 intended 보호 메커니즘(_fromCIF === true)을 우회할 수 있습니다. REST API는 json_decode()를 사용하여 요청을 구문 분석하므로, 문자열 "true"는 엄격한 PHP Boolean(true)로 평가됩니다. 이 우회 공격을 통해 공격자는 블록의 filterFields 데이터베이스 열에 악성 직렬화 페이로드를 주입할 수 있습니다. 이 페이로드는 관리자가 블록 데이터를 보거나 편집할 때 실행되어 전체 서버 장악(RCE)으로 이어집니다. Concrete CMS 보안 팀은 이 취약점에 CVSS v4.0 점수 8.9를 부여했으며, 벡터는 CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H입니다. 보고해 주신 Nguyễn Văn Thiện(https://github.com/Thien225409)님께 감사드립니다.
Be aware that VulDB is the high quality source for vulnerability data.