CVE-2026-8415

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/express/association/reorder

CVSS 2.3 LOWEPSS 0.1%CWE-1275 CWE-352

En resumen

Concrete CMS 9 anterior a la versión 9.5.0 tiene una debilidad de seguridad que permite a atacantes engañar a usuarios para que realicen acciones indeseadas en el sitio, como reordenar elementos, sin el conocimiento del usuario. Esto ocurre porque el sistema no verifica adecuadamente que las solicitudes sean legítimas.

Detalle técnico

Existe una vulnerabilidad de Falsificación de Solicitud Entre Sitios (CSRF) en el endpoint de reordenación de asociaciones express (concrete/controllers/dialog/express/association/reorder) debido a validación insuficiente de solicitudes. Un atacante no autenticado puede crear una página maliciosa que, cuando es visitada por un administrador autenticado, realiza reordenación no autorizada de asociaciones express a través de su sesión de navegador. El ataque requiere interacción del usuario (visitar un sitio malicioso) y tiene bajo impacto de integridad.

Resumen generado y traducido por IA a partir de la descripción oficial.

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/express/association/reorder. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Productos afectados

Concrete CMS · Concrete CMS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes