CVE-2025-2970

Nome do Software Vulnerável e Versões Afetadas Versões do ConcreteCMS até 9.3.9

Descrição Uma vulnerabilidade foi encontrada no ConcreteCMS, afetando uma função não identificada do componente Switch Language Block Handler. A manipulação do argumento Label resulta em cross-site scripting. É possível executar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações Para as versões do ConcreteCMS até 9.3.9, como solução temporária, considere restringir o acesso ao componente Switch Language Block Handler até que um patch esteja disponível. Evite utilizar o argumento Label no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.