CVE-2026-8134 in Concreteinformação

Sumário

de VulDB • 21/05/2026

O Concrete CMS 9.5.0 e versões anteriores falha ao sanitizar sequências de traversal de caminho no campo ptComposerFormLayoutSetControlCustomTemplate ao salvar layouts de formulários do composer de tipos de página. Um administrador mal-intencionado autenticado com direitos de edição de formulários do composer pode explorar isso para incluir arquivos legíveis arbitrários no servidor. Combinado com a validação apenas de extensão do uploader de arquivos (que permite código PHP em arquivos salvos com extensões de imagem como .png), isso pode resultar em execução remota de código autenticada. A equipe de segurança do Concrete CMS atribuiu a esta vulnerabilidade uma pontuação CVSS v.4.0 de 9.4 com o vetor CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H. Obrigado Yonatan Drori (Tenzai) por reportar.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

ConcreteCMS

Reservar

07/05/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365075

CPE

pronto

EPSS

0.00533

KEV

não

Atividades

muito baixo

Sector

Agriculture, Hostingprovider, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8134
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8134
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8134/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!