CVE-2026-7886

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição Existe uma Referência Direta a Objeto Insegura (IDOR) nos controladores de conversa 'AddMessage' e 'UpdateMessage'. Esses controladores aceitam IDs de anexos de arquivos fornecidos pelo usuário através do parâmetro attachments[] e carregam arquivos usando a função find(File::class, $attachmentID) sem verificar as permissões por arquivo via canViewFile(). Isso permite que um usuário com permissão para postar em qualquer conversa referencie qualquer arquivo no gerenciador de arquivos do CMS por seu ID sequencial, ignorando o sistema de permissões de arquivos.

Recomendações Atualize para uma versão posterior à 9.5.0. Configure um local de armazenamento privado fora do webroot para arquivos privados para garantir que as permissões sejam verificadas durante a visualização.