Unknown · Concrete Cms · CVE-2026-7879
**Nome do Software Vulnerável e Versões Afetadas**
Concrete CMS versões 9.5.0 e anteriores
**Description**
O método `submit password()` em 'concrete/controllers/single page/download file.php' permite o acesso não autorizado a arquivos porque o processo de download de arquivos com restrição de permissão ignora a verificação de permissão `view file`. Isso permite que arquivos sem senhas sejam baixados e possibilita que qualquer usuário que conheça a senha de um arquivo baixe um arquivo protegido por senha, independentemente de suas permissões de acesso reais.
**Recommendations**
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.