CVE-2026-8417
WysokieStreszczenie
Concrete CMS w wersji 9.5.0 i wcześniejszych nie weryfikuje tokena CSRF przed przetwarzaniem żądań do /dashboard/extend/update/do_update/<pkgHandle>. Metoda do_update() w concrete/controllers/single_page/dashboard/extend/update.php sprawdza jedynie canInstallPackages() przed wykonaniem upgradeCoreData() i upgrade() na kontrolerze wskazanego pakietu.
Ocena ryzyka
Atakujący może zmusić uwierzytelnionego administratora do uruchomienia aktualizacji pakietu poprzez jedną nawigację między witrynami. Wymagana jest wcześniejsza instalacja docelowego pakietu oraz spełnienie warunku canInstallPackages().
Rekomendacja
Zaleca się wprowadzenie weryfikacji tokenów CSRF dla wszystkich punktów końcowych zmieniających stan, aby zapobiec nieautoryzowanym aktualizacjom pakietów.
Oryginalny opis (angielski, źródło NVD)
Concrete CMS 9.5.0 and below does not validate a CSRF token before processing requests to /dashboard/extend/update/do_update/<pkgHandle>. The do_update() method in concrete/controllers/single_page/dashboard/extend/update.php checks only canInstallPackages() before executing upgradeCoreData() and upgrade() on the named package's controller. Because the endpoint is a state-changing GET route with no token enforcement, an attacker can force an authenticated administrator to trigger a package upgrade via a single cross-site navigation.In order to be vulnerable, the victim must be passing canInstallPackages() and and a target package must already be already installed. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.

