Unknown · Concrete Cms · CVE-2026-8135
**Nome do Software Vulnerável e Versões Afetadas**
Concrete CMS versões anteriores a 9.5.1
**Descrição**
A Execução Remota de Código (RCE) é possível devido à desserialização insegura no controlador de bloco `ExpressEntryList`. Um administrador com permissões para adicionar blocos pode ignorar o mecanismo de proteção ` fromCIF === true` utilizando a API REST. Como a API REST utiliza `json decode()`, a string "true" é interpretada como um Booleano(true) do PHP, permitindo a injeção de um payload serializado malicioso na coluna `filterFields` do banco de dados. Esse payload é executado quando um administrador visualiza ou edita os dados do bloco, podendo levar ao controle total do servidor.
**Recomendações**
Atualize para uma versão posterior à 9.5.0.
Como medida paliativa temporária, restrinja os privilégios de administrador para evitar que usuários não autorizados adicionem blocos a áreas até que a atualização seja aplicada.