CVE-2026-7882

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição Uma verificação invertida de token CSRF no controlador DeleteFile permite a exclusão não autorizada de arquivos. O sistema incorretamente gera um erro quando o token é válido e prossegue com o processo de exclusão quando o token é inválido ou está ausente. Essa falha desativa a proteção contra Cross-Site Request Forgery (CSRF)—um mecanismo usado para evitar que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia—para o endpoint de exclusão de arquivos, permitindo ataques contra usuários com permissões para editar mensagens de conversa.

Recomendações Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja o acesso ao controlador DeleteFile para minimizar o risco de exclusão não autorizada de arquivos.