CVE-2026-8413

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/design

CVSS 2.3 LOWEPSS 0.1%CWE-1275 CWE-352

En resumen

Concrete CMS 9 anterior a la versión 9.5.0 tiene una debilidad que permite a atacantes engañar a usuarios para realizar cambios no deseados en diseños en masa de páginas sin su conocimiento. Un atacante puede crear un enlace malicioso que, cuando es clickeado por un usuario autenticado en el CMS, modifica silenciosamente los diseños de las páginas.

Detalle técnico

Vulnerabilidad de CSRF en el endpoint de diálogo de diseño en masa (concrete/controllers/dialog/page/bulk/design) permite a un atacante falsificar solicitudes en nombre de usuarios autenticados. El ataque requiere interacción del usuario (hacer clic en un enlace malicioso) e introduce modificación no autorizada de la integridad de las páginas. No hay validación de tokens de autenticación en operaciones que cambian el estado del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/design. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Productos afectados

Concrete CMS · Concrete CMS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes