CVE-2025-3153

Nome do Software Vulnerável e Versões Afetadas Versões 9 do Concrete CMS e anteriores à 9.4.0RC2 Versões do Concrete CMS anteriores à 8.5.20

Descrição O problema refere-se ao atributo de Endereço (Address) do Concrete CMS, onde os endereços não são devidamente sanitizados na saída quando um país não é especificado, resultando em vulnerabilidades de CSRF e XSS. Os atacantes só podem visar indivíduos aos quais foi concedida a capacidade de preencher um atributo de endereço por um administrador do site. O atacante pode obter informações limitadas do site, com a quantidade e o tipo restritos por controles de mitigação e pelo nível de acesso do atacante. É possível uma modificação limitada de dados, e a página do painel de controle (dashboard) pode tornar-se indisponível.

Recomendações Para as versões 9 do Concrete CMS e anteriores à 9.4.0RC2, atualize para a versão 9.4.0RC2 ou posterior para sanitizar novos dados enviados após a atualização. Para as versões do Concrete CMS anteriores à 8.5.20, atualize para a versão 8.5.20 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao atributo de Endereço (Address) até que o problema seja resolvido. Recomenda-se realizar uma busca no banco de dados por entradas existentes adicionadas antes da atualização, pois elas podem ainda estar ativas caso exploits bem-sucedidos tenham sido inseridos em versões anteriores.