CVE-2026-8350
WysokieStreszczenie
Concrete CMS w wersji 9.5.0 i wcześniejszych jest podatny na brak autoryzacji w pliku bulk_user_assignment.php, co może prowadzić do eskalacji uprawnień do grupy administracyjnej. Każdy uwierzytelniony użytkownik z dostępem do panelu przypisywania użytkowników może dodawać adresy e-mail do dowolnej grupy oraz usuwać prawdziwych administratorów.
Ocena ryzyka
Podatność ta stwarza ryzyko, że nieautoryzowani użytkownicy mogą uzyskać dostęp do uprawnień administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację Concrete CMS do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie dostępu do panelu przypisywania użytkowników tylko dla zaufanych administratorów.
Oryginalny opis (angielski, źródło NVD)
Concrete CMS 9.5.0 and below is vulnerable to missing authorization in the bulk_user_assignment.php which can lead to privilege escalation to Administrative Group. Any authenticated user with access to the bulk user assignment dashboard page can add any user email to any group and can remove legitimate admins. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks Vincent55 for reporting.

