CVE-2026-8135

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição A Execução Remota de Código (RCE) é possível devido à desserialização insegura no controlador de bloco ExpressEntryList. Um administrador com permissões para adicionar blocos pode ignorar o mecanismo de proteção fromCIF === true utilizando a API REST. Como a API REST utiliza json decode(), a string "true" é interpretada como um Booleano(true) do PHP, permitindo a injeção de um payload serializado malicioso na coluna filterFields do banco de dados. Esse payload é executado quando um administrador visualiza ou edita os dados do bloco, podendo levar ao controle total do servidor.

Recomendações Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja os privilégios de administrador para evitar que usuários não autorizados adicionem blocos a áreas até que a atualização seja aplicada.