CVE-2026-8428

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição Existe uma falha de bypass na validação do token Cross-Site Request Forgery (CSRF) onde a view local available update.php emite um token via $token->output('do update'), mas a função do update() em concrete/controllers/single page/dashboard/system/update/update.php não chama $this->token->validate('do update'). Embora o formulário seja renderizado como um formulário POST, o controlador descarta o token sem verificação. Isso permite que um invasor crie uma requisição POST cross-site para disparar uma atualização do núcleo do CMS para uma string de versão especificada pelo invasor. Para que isso ocorra, a vítima deve passar por canUpgrade() e uma versão de atualização válida deve estar presente em DIR CORE UPDATES.

Recomendações Atualize para uma versão posterior a 9.5.0. Como medida paliativa temporária, restrinja o acesso à função do update() em concrete/controllers/single page/dashboard/system/update/update.php para minimizar o risco de exploração.