CVE-2026-8417

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição O Concrete CMS não valida um token Cross-Site Request Forgery (CSRF)—um identificador único usado para evitar que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia—antes de processar solicitações para o endpoint '/dashboard/extend/update/do update/'. A função do update() em 'concrete/controllers/single page/dashboard/extend/update.php' verifica apenas a condição canInstallPackages() antes de executar upgradeCoreData() e upgrade() no controlador do pacote especificado. Como este endpoint é uma rota GET de alteração de estado sem imposição de token, um invasor pode enganar um administrador autenticado para disparar a atualização de um pacote por meio de navegação cross-site, desde que o administrador passe na verificação canInstallPackages() e o pacote alvo já esteja instalado.

Recomendações Atualize para uma versão posterior à 9.5.0.