CVE-2026-8327

Nome do Software Vulnerável e Versões Afetadas Concrete CMS versões anteriores a 9.5.0

Descrição O controlador de edição de perfil de usuário passa todo o array POST bruto para a função UserInfo::update() sem a utilização de uma lista branca de campos. Isso permite que usuários registrados alterem senhas sem a necessidade de fornecer a senha atual para reautorização. Além disso, essa falha permite que usuários desativem o pinning de IP por usuário no validador de sessão, um recurso de segurança projetado para detectar o sequestro de sessão (session hijacking).

Recomendações Atualize para a versão 9.5.0 ou posterior.