CVE-2026-10721
WysokieCVSS 8.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Concrete CMS w wersjach poniżej 9.5.2 jest podatny na wstrzyknięcie obiektów PHP poprzez wywołania funkcji unserialize() w komponentach Permission, Cache i Search. Nieautoryzowany atakujący może wywołać instancję dowolnego obiektu PHP, jeśli złośliwy zserializowany ładunek został umieszczony w bazie danych.
Ocena ryzyka
Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym wykonanie dowolnego kodu PHP na serwerze. Może to skutkować utratą danych lub przejęciem kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację Concrete CMS do wersji 9.5.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować i zabezpieczać bazę danych przed wprowadzeniem złośliwych ładunków.
Oryginalny opis (angielski, źródło NVD)
Concrete CMS below 9.5.2 is vulnerable to PHP Object Injection via unserialize() calls in the in Permission, Cache, and Search components. An unauthenticated attacker may trigger arbitrary PHP object instantiation if a malicious serialized payload has been placed in the database. Thanks XananasX7 for reporting.

