CVE-2026-8426

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição O Concrete CMS não valida um token Cross-Site Request Forgery (CSRF)—um valor único usado para evitar que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia—antes de processar solicitações para o endpoint '/dashboard/extend/update/prepare remote upgrade/'. Um invasor que controle o pacote remoto retornado para um ID de item de marketplace conhecido pode sobrescrever o PHP do pacote no disco e forçar a execução da função upgrade() através de uma única navegação no navegador. Isso resulta na execução remota de código como o usuário do servidor web. Para que isso ocorra, a vítima deve possuir permissões canInstallPackages, o site deve estar conectado ao marketplace do Concrete e o invasor deve controlar o pacote retornado para um ID de item de marketplace já instalado no site da vítima.

Recomendações Atualize para uma versão posterior à 9.5.0.