PT-2026-42577 · Unknown · Concrete Cms
Yonatan Drori
·
Publicado
2026-05-21
·
Atualizado
2026-05-22
·
CVE-2026-8435
CVSS v4.0
2.3
Baixa
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Concrete CMS versões 9.0 até 9.4.x
Descrição
Ocorre Cross Site Request Forgery (CSRF) no endpoint 'concrete/controllers/backend/file' dentro da função
approveVersion(). CSRF é uma falha que permite que um invasor induza um usuário a realizar ações que ele não pretendia fazer.Recomendações
Atualize para a versão 9.5.0.
Como medida paliativa temporária, restrinja o acesso à função
approveVersion() no endpoint 'concrete/controllers/backend/file'.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Concrete Cms