CVE-2026-8140

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões 9.5.0 e anteriores

Description O Concrete CMS não valida um token Cross-Site Request Forgery (CSRF)—um identificador único usado para evitar que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia—antes de processar solicitações para o endpoint '/dashboard/extend/install/download/'. A função download() em 'concrete/controllers/single page/dashboard/extend/install.php' verifica apenas a permissão canInstallPackages() antes de buscar um pacote remoto do marketplace e salvá-lo no diretório DIR PACKAGES do servidor. Como este endpoint é uma rota GET de alteração de estado sem a aplicação de tokens, um invasor pode enganar um administrador autenticado para visitar uma página maliciosa e forçar o download de um pacote arbitrário do marketplace. Para que isso ocorra, o administrador deve possuir a permissão canInstallPackages() e o site deve estar conectado ao marketplace do Concrete.

Recommendations Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/dashboard/extend/install/download/' para minimizar o risco de exploração.