Katalog CVE

CVE-2026-8426

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Concrete CMS w wersji 9.5.0 i wcześniejszych nie weryfikuje tokenu CSRF przed przetwarzaniem żądań do /dashboard/extend/update/prepare_remote_upgrade/<remoteMPID>. Atakujący, który kontroluje zdalny pakiet dla znanego identyfikatora elementu rynku, może nadpisać pakiet PHP na dysku i wymusić jego metodę upgrade() do wykonania w trakcie jednej nawigacji w przeglądarce.

Ocena ryzyka

W wyniku tej podatności może dojść do zdalnego wykonania kodu jako użytkownik serwera WWW, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Wymaga to, aby ofiara miała włączoną możliwość instalacji pakietów oraz była połączona z rynkiem Concrete.

Rekomendacja

Zaleca się aktualizację Concrete CMS do wersji powyżej 9.5.0 oraz wprowadzenie dodatkowych mechanizmów weryfikacji tokenów CSRF w aplikacji. Należy również monitorować i ograniczać dostęp do zdalnych pakietów.

Oryginalny opis (angielski, źródło NVD)

Concrete CMS 9.5.0 and below does not validate a CSRF token before processing requests to /dashboard/extend/update/prepare_remote_upgrade/<remoteMPID>. An attacker who controls the remote package returned for a known marketplace item ID can overwrite the package PHP on disk and force its upgrade() method to execute in a single browser navigation. This results in remote code execution as the web server user.   In order to be vulnerable, the victim must be passing canInstallPackages, victim site must be connected to the Concrete marketplace; and the attacker controls the package returned for a marketplace item ID already installed on the victim site. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS