CVE-2026-7886 in Concrete CMSИнформация

Сводка

по VulDB • 22.05.2026

Concrete CMS 9.5.0 и более ранние версии уязвимы к IDOR в методах AddMessage/UpdateMessage через параметр attachments[], что может привести к обходу разрешений на файлы. Контроллеры разговоров `AddMessage` и `UpdateMessage` принимают предоставленные пользователем идентификаторы вложений файлов и загружают файлы напрямую через `$em->find(File::class, $attachmentID)` без проверки разрешений для каждого файла (`canViewFile()`). Пользователь, который может отправлять сообщения в любом разговоре, может ссылаться на любой файл в файловом менеджере CMS по его последовательному идентификатору, эффективно обходя систему разрешений на файлы. Команда безопасности Concrete CMS присвоила этой уязвимости оценку CVSS v.4.0 равную 2.3 с вектором CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. Спасибо Тристану Мандани за сообщение об уязвимости. Если на сайте действительно есть приватные файлы, владельцу следует настроить приватное хранилище по адресу https://documentation.concretecms.org/user-guide/editors-reference/dashboard/system-and-maintenance/files/file-storage-locations вне webroot, чтобы разрешения могли проверяться также при просмотре. Таким образом, даже если авторизованный пользователь прикрепляет файл или иным образом ссылается на него, неавторизованные пользователи не смогут просмотреть файл.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

ConcreteCMS

Резервировать

05.05.2026

Раскрытие

22.05.2026

Модерация

принято

Вход

VDB-365102

EPSS

0.00017

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider, Agriculture, ...

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7886
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7886
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7886/

ПредыдущийОбзорДалее

Do you need the next level of professionalism?

Upgrade your account now!