Wezery0

**Name of the Vulnerable Software and Affected Versions** Concrete CMS versions 8.5.13 and earlier Concrete CMS versions 9.0.0 through 9.2.2 **Description** The issue allows an admin to add a stored XSS payload via the Layout Preset name, potentially affecting user interactions with the system. **Recommendations** For Concrete CMS versions 8.5.13 and earlier, update to version 8.5.14 or later. For Concrete CMS versions 9.0.0 through 9.2.2, update to version 9.2.3 or later.

**Nome do software vulnerável e versões afetadas** Versões do Concrete CMS anteriores à 8.5.6 **Descrição** O problema diz respeito a uma vulnerabilidade CSRF no componente Calendário do Concrete CMS. Especificamente, o `ccm token` não é verificado no endpoint “ccm/calendar/dialogs/event/add/save”, tornando-o suscetível a ataques de falsificação de solicitação entre sites. **Recomendações** Para versões anteriores à 8.5.6, atualize para a versão 8.5.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “ccm/calendar/dialogs/event/add/save” até que um patch esteja disponível.