CVE-2026-3452

Nome do Software Vulnerável e Versões Afetadas Versões do Concrete CMS anteriores à 9.4.8

Descrição O Concrete CMS é suscetível à Execução Remota de Código devido à injeção de objeto PHP armazenada no bloco Express Entry List, especificamente através do parâmetro columns. Um administrador autenticado pode armazenar dados serializados maliciosos nos campos de configuração do bloco. Esses dados são subsequentemente processados pela função unserialize() sem restrições de classe adequadas ou verificações de integridade, permitindo a potencial execução de código. O problema envolve desserialização armazenada, o que pode levar à Execução Remota de Código (RCE).

Recomendações Versões anteriores à 9.4.8 devem ser atualizadas para a versão 9.4.8 ou posterior.