CVE-2026-8428
WysokieStreszczenie
Concrete CMS w wersji 9.5.0 i wcześniejszych emituje token CSRF w widoku local_available_update.php, jednak metoda do_update() w concrete/controllers/single_page/dashboard/system/update/update.php nie weryfikuje tego tokena. To pozwala atakującemu na przeprowadzenie ataku typu cross-site POST, który może wywołać aktualizację CMS do wersji wskazanej przez atakującego.
Ocena ryzyka
Brak weryfikacji tokena CSRF stwarza ryzyko nieautoryzowanej aktualizacji systemu CMS, co może prowadzić do wprowadzenia złośliwego kodu lub nieautoryzowanych zmian w systemie.
Rekomendacja
Zaleca się aktualizację Concrete CMS do wersji 9.5.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy wprowadzić weryfikację tokena CSRF w metodzie do_update().
Oryginalny opis (angielski, źródło NVD)
Concrete CMS 9.5.0 and below emits a CSRF token in the local_available_update.php view ($token->output('do_update')) but the corresponding do_update() method in concrete/controllers/single_page/dashboard/system/update/update.php never calls $this->token->validate('do_update'). The form is rendered as a POST form, meaning the token reaches the browser, but because the controller discards it without verification, an attacker can craft a cross-site POST that triggers a core CMS update to an attacker-specified version string. In order to be vulnerable, theictim must be passing canUpgrade()anda valid update version must be present under DIR_CORE_UPDATES. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.

