Xananasx7

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.2 **Description** Ocorre Injeção de Objeto PHP devido à desserialização insegura nos componentes de Permissão, Cache e Busca. Esses componentes utilizam a função `unserialize()` em dados armazenados sem restringir as classes permitidas. Um invasor não autenticado pode disparar a instanciação de objetos PHP arbitrários se um payload serializado malicioso for colocado no banco de dados, o que pode levar à execução remota de código. Este processo requer que o invasor possua altos privilégios para gravar os dados serializados maliciosos no armazenamento relevante. **Recommendations** Atualize para a versão 9.5.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.2 **Description** Ocorre Injeção de Objeto PHP devido ao uso de chamadas `unserialize()` nos componentes Workflow, Form block e File/Set que não implementam a restrição `allowed classes`. Isso permite que um invasor não autenticado acione a instanciação arbitrária de objetos PHP caso um payload serializado malicioso esteja presente no banco de dados. **Recommendations** Atualize para a versão 9.5.2 ou posterior.