Unknown · Concrete Cms · CVE-2026-7888
**Nome do Software Vulnerável e Versões Afetadas**
Concrete CMS versões anteriores a 9.5.2
**Description**
Ocorre Injeção de Objeto PHP devido ao uso de chamadas `unserialize()` nos componentes Workflow, Form block e File/Set que não implementam a restrição `allowed classes`. Isso permite que um invasor não autenticado acione a instanciação arbitrária de objetos PHP caso um payload serializado malicioso esteja presente no banco de dados.
**Recommendations**
Atualize para a versão 9.5.2 ou posterior.