Unknown · Concrete Cms · CVE-2026-6826
**Nome do Software Vulnerável e Versões Afetadas**
Concrete CMS versões 9.5.0 e anteriores
**Description**
Existe um problema onde a ausência de uma verificação de permissão no controlador de uso permite que visitantes não autenticados divulguem informações de uso de arquivos. Ao solicitar o endpoint '/ccm/system/dialogs/file/usage/{fID}' usando qualquer ID de arquivo através da variável `fID`, um invasor pode obter uma lista de todas as páginas que referenciam esse arquivo, incluindo IDs de página, handles e URLs completas. Esta divulgação inclui páginas que, de outra forma, seriam restringidas por permissões.
**Recommendations**
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.