CVE-2026-7882 in Concretethông tin

Tóm tắt

Bởi VulDB • 22/05/2026

Concrete CMS 9.5.0 và các phiên bản thấp hơn dễ bị xóa tệp trái phép do lỗi kiểm tra token CSRF đảo ngược trong controller DeleteFile. Mã nguồn ném ra lỗi khi token HỢP LỆ và tiến hành xóa tệp khi token KHÔNG HỢP LỆ hoặc bị thiếu. Điều này vô hiệu hóa bảo vệ CSRF đối với điểm cuối xóa tệp, cho phép các cuộc tấn công Cross-Site Request Forgery (CSRF) nhắm vào người dùng có quyền chỉnh sửa tin nhắn hội thoại. Nhóm bảo mật Concrete CMS đã đánh giá lỗ hổng này với điểm CVSS v4.0 là 2.3, với vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Cảm ơn Tristan Mandani đã báo cáo.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

ConcreteCMS

Đặt trước

05/05/2026

Tiết lộ

22/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-365110

CPE

sẵn sàng

CWE

CWE-352 (Đã xác nhận)

CVSS

4.3 (VulDB)

EPSS

0.00021

KEV

không

Các hoạt động

rất thấp

ngành

Lawfirm, Agriculture, ...

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7882
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7882
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7882/

◂ Trước Tổng Quan Tiếp theo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!