CVE-2026-8426 in Concrete
요약
\~에 의해 VulDB • 2026. 05. 27.
Concrete CMS 9.5.0 및 이전 버전은 /dashboard/extend/update/prepare_remote_upgrade/<remoteMPID> 엔드포인트로 들어오는 요청을 처리하기 전에 CSRF 토큰을 검증하지 않습니다. 알려진 마켓플레이스 항목 ID에 대해 반환되는 원격 패키지를 제어할 수 있는 공격자는 디스크 상의 패키지 PHP 파일을 덮어쓰고, 단일 브라우저 탐색을 통해 upgrade() 메서드의 실행을 강제할 수 있습니다. 이로 인해 웹 서버 사용자의 권한으로 원격 코드 실행(RCE)이 발생합니다.
이 취약점에 대해 피해자는 canInstallPackages 권한을 가지고 있어야 하며, 피해 사이트가 Concrete 마켓플레이스에 연결되어 있어야 합니다. 또한 공격자는 피해 사이트에 이미 설치된 마켓플레이스 항목 ID에 대해 반환되는 패키지를 제어해야 합니다.
Concrete CMS 보안 팀은 이 취약점에 CVSS v4.0 점수 7.5(벡터: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)를 부여했습니다. 보고해 주신 https://github.com/maru1009 님께 감사드립니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.