Katalog CVE

CVE-2026-10721

WysokieCVSS 8.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.02%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

Concrete CMS w wersjach poniżej 9.5.2 jest podatny na wstrzyknięcie obiektów PHP poprzez wywołania funkcji unserialize() w komponentach Permission, Cache i Search. Nieautoryzowany atakujący może wywołać instancję dowolnego obiektu PHP, jeśli złośliwy zserializowany ładunek został umieszczony w bazie danych.

Ocena ryzyka

Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym wykonanie dowolnego kodu PHP na serwerze. Może to skutkować utratą danych lub przejęciem kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację Concrete CMS do wersji 9.5.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować i zabezpieczać bazę danych przed wprowadzeniem złośliwych ładunków.

Oryginalny opis (angielski, źródło NVD)

Concrete CMS below 9.5.2 is vulnerable to PHP Object Injection via unserialize() calls in the  in Permission, Cache, and Search components. An unauthenticated attacker may trigger arbitrary PHP object instantiation if a malicious serialized payload has been placed in the database. Thanks XananasX7 for reporting.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS