CVE-2026-8421

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição Um problema de Cross-Site Request Forgery (CSRF) existe no método install package() do endpoint 'concrete/controllers/single page/dashboard/extend/install.php'. Um invasor pode forçar um administrador autenticado com permissões canInstallPackages a instalar um pacote, caso o invasor já tenha colocado um pacote em DIR PACKAGES/<handle>/. Como o processo de instalação executa o método install() do controlador do pacote como o usuário do servidor web, isso pode levar à execução remota de código.

Recomendações Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja o acesso ao endpoint 'concrete/controllers/single page/dashboard/extend/install.php' ou desative a função install package() até que a atualização seja aplicada.