CVE-2026-8428 in Concreteinformação

Sumário

de VulDB • 22/05/2026

O Concrete CMS 9.5.0 e versões anteriores emite um token CSRF na visualização local_available_update.php ($token->output('do_update')), mas o método do_update() correspondente em concrete/controllers/single_page/dashboard/system/update/update.php nunca chama $this->token->validate('do_update'). O formulário é renderizado como um formulário POST, o que significa que o token chega ao navegador, mas, como o controlador o descarta sem verificação, um atacante pode criar um POST entre sites (cross-site) que aciona uma atualização do núcleo do CMS para uma string de versão especificada pelo atacante. Para que o sistema seja vulnerável, o alvo deve estar passando em canUpgrade() e uma versão de atualização válida deve estar presente em DIR_CORE_UPDATES. A equipe de segurança do Concrete CMS atribuiu a esta vulnerabilidade uma pontuação CVSS v.4.0 de 7.5 com o vetor CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Obrigado a https://github.com/maru1009 por reportar.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

ConcreteCMS

Reservar

12/05/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365091

CPE

pronto

EPSS

0.00027

KEV

não

Atividades

muito baixo

Sector

Lawfirm, Hostingprovider, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8428
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8428
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8428/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!