CVE-2026-8245

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.1

Descrição Ocorre Cross-Site Scripting (XSS) Refletido na Paginação Legada por meio de injeção de atributo HTML. A classe ConcreteCoreLegacyPagination constrói links de paginação interpolando brutos a variável $URL no atributo href de uma tag de âncora. Um administrador autenticado ou visualizador de relatórios com acesso ao endpoint '/dashboard/reports/forms/legacy' pode disparar o payload em sua sessão ao clicar em uma URL manipulada.

Recomendações Atualize para uma versão posterior a 9.5.0. Restrinja o acesso ao endpoint '/dashboard/reports/forms/legacy' para minimizar o risco de exploração.