Eldudareeno

Concrete CMS 9.5.0 and below is vulnerable to IDOR. The `/ccm/frontend/conversations/message detail` endpoint returns the full content of any conversation message. An unauthenticated attacker can enumerate all conversation messages, including messages from restricted pages, member-only areas, and the moderation queue. File attachments with download URLs are also exposed. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with Vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. Thanks Eldudareeno for reporting.

**Nome do Software Vulnerável e Versões Afetadas** Kuma versões anteriores a 2.7.25 Kuma versões anteriores a 2.9.15 Kuma versões anteriores a 2.11.13 Kuma versões anteriores a 2.12.10 Kuma versões anteriores a 2.13.5 **Description** A configuração padrão do `kuma-cp` vaza o token de bootstrap do administrador e as chaves de assinatura para qualquer página da web que o operador visite enquanto o plano de controle estiver acessível pelo navegador. Isso ocorre porque `CorsAllowedDomains: [".*"]` reflete qualquer `Origin`, e `LocalhostIsAdmin: true` promove requisições de `127.0.0.1` para `mesh-system:admin`. Um `fetch()` de origem cruzada a partir de uma página maliciosa pode retornar o JWT do administrador e o material de assinatura. **Recommendations** Atualize para a versão 2.7.25. Atualize para a versão 2.9.15. Atualize para a versão 2.11.13. Atualize para a versão 2.12.10. Atualize para a versão 2.13.5. Defina `KUMA API SERVER AUTHN LOCALHOST IS ADMIN=false` após recuperar o token de administrador. Defina `KUMA API SERVER CORS ALLOWED DOMAINS` para uma lista de permissões explícita, como `http://localhost:5681,http://127.0.0.1:5681`. Evite executar o `kuma-cp` em uma máquina usada para navegar em sites não confiáveis.