M3Dium

**Name of the Vulnerable Software and Affected Versions** Concrete CMS versions prior to 9.4.8 **Description** A stored cross-site scripting (XSS) issue exists in the "Legacy Form" block. An authenticated user with appropriate permissions can inject a JavaScript payload into the options of a multiple-choice question (Checkbox List, Radio Buttons, or Select Box). This payload is then executed in the browser of any user who views the page containing the form. The affected block allows for the injection of persistent JavaScript code. **Recommendations** Update Concrete CMS to version 9.4.8 or later.

**Name of the Vulnerable Software and Affected Versions** Concrete CMS versions prior to 9.4.8 **Description** A malicious administrator can inject stored cross-site scripting (XSS) through the Switch Language block. This allows an attacker to execute scripts in the context of another user's browser. **Recommendations** Update to version 9.4.8 or later.

**Nome do software vulnerável e versões afetadas** Concrete CMS, versões 9.0.0 a 9.3.2 Concrete CMS, versões anteriores à 8.5.18 **Descrição** O problema diz respeito a um XSS armazenado no RSS Displayer do Concrete CMS, onde as entradas do usuário são armazenadas e posteriormente incorporadas nas respostas. Isso ocorre devido à validação insuficiente das entradas, permitindo que um administrador mal-intencionado injete código malicioso nos campos. **Recomendações** Para as versões 9.0.0 a 9.3.2 do Concrete CMS, atualize para uma versão superior à 9.3.2 para resolver o problema. Para versões do Concrete CMS anteriores à 8.5.18, atualize para a versão 8.5.18 ou superior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso RSS Displayer até que um patch esteja disponível. Restrinja os privilégios de administrador para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Concrete CMS, versões 9.0.0 a 9.3.2 **Descrição** O problema é uma vulnerabilidade XSS armazenada nas instâncias do Board, que poderia permitir que um administrador mal-intencionado injetasse código malicioso. **Recomendações** Para as versões 9.0.0 a 9.3.2, atualize para uma versão que corrija esse problema para evitar a exploração. Como solução temporária, considere restringir o acesso às instâncias do Board até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Concrete CMS, versões 9 a 9.3.2 Concrete CMS, versões anteriores à 8.5.18 **Descrição** O problema diz respeito a uma vulnerabilidade de XSS armazenado na função `getAttributeSetName()`. Um administrador mal-intencionado poderia injetar código malicioso. **Recomendações** Para as versões 9 a 9.3.2 do Concrete CMS, atualize para uma versão superior à 9.3.2 para resolver o problema. Para as versões do Concrete CMS anteriores à 8.5.18, atualize para a versão 8.5.18 ou superior para resolver o problema. Como solução temporária, considere restringir o acesso à função `getAttributeSetName()` até que um patch esteja disponível.