PT-2025-13639 · Unknown · Concrete Cms

Publicado

2025-03-30

·

Atualizado

2025-03-31

·

CVE-2025-2967

CVSS v2.0

4.0

Média

VetorAV:N/AC:L/Au:S/C:N/I:P/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do ConcreteCMS até a 9.3.9
Descrição Uma vulnerabilidade foi encontrada no ConcreteCMS, afetando a função Save do componente HTML Block Handler. A manipulação do argumento content resulta em injeção de HTML. Este problema pode ser acionado remotamente.
Recomendações Para versões até a 9.3.9, atualize para uma versão posterior à 9.3.9 para resolver o problema. Como medida paliativa temporária, considere restringir o uso da função Save no componente HTML Block Handler até que um patch esteja disponível. Evite usar o argumento content no componente afetado para minimizar o risco de exploração.

Exploit

Correção

XSS

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-94

Identificadores relacionados

CVE-2025-2967
GHSA-XFQF-5RHG-5C73

Produtos afetados

Concrete Cms