📄 Description (English)
Redaxo CMS 5.2 contains a cross-site request forgery vulnerability that allows unauthenticated attackers to create administrative user accounts by tricking authenticated administrators into visiting malicious pages. Attackers can craft HTML forms targeting the users endpoint with hidden fields containing admin credentials and account parameters to add new administrator accounts without user consent.
🤖 AI Executive Summary
Redaxo CMS 5.2 contains a critical CSRF vulnerability allowing unauthenticated attackers to create administrative accounts by deceiving authenticated administrators. This vulnerability enables unauthorized privilege escalation and complete system compromise without requiring direct authentication. The absence of available patches makes this a persistent threat requiring immediate compensating controls.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 29, 2026 05:17
🇸🇦 Saudi Arabia Impact Assessment
Saudi organizations using Redaxo CMS 5.2 face critical risk of administrative account compromise. Government agencies, municipalities, and educational institutions relying on Redaxo for content management are particularly vulnerable. Media organizations and corporate websites hosted on Redaxo could be weaponized for disinformation campaigns. The vulnerability enables attackers to establish persistent backdoors, violating NCA ECC 2024 access control requirements and SAMA CSF governance frameworks.
🏢 Affected Saudi Sectors
Government
Education
Healthcare
Media and Publishing
Telecommunications
E-commerce
Financial Services
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Audit all administrative user accounts in Redaxo 5.2 installations for unauthorized additions created after deployment
2. Review access logs for suspicious admin account creation requests
3. Implement network-level CSRF token validation at WAF/proxy level
4. Disable Redaxo 5.2 if alternative CMS available; migrate to patched versions (5.3+) immediately
COMPENSATING CONTROLS:
1. Implement SameSite cookie attributes (Strict) on all session cookies
2. Deploy CSRF token validation middleware requiring double-submit tokens for all state-changing operations
3. Enforce Content Security Policy (CSP) headers blocking cross-origin form submissions
4. Implement admin account creation approval workflows requiring out-of-band confirmation
5. Enable multi-factor authentication for all administrative accounts
6. Restrict admin panel access to whitelisted IP ranges
7. Implement continuous monitoring for new admin account creation events
DETECTION RULES:
1. Alert on POST requests to /users endpoint from external referrers
2. Monitor for admin account creation without corresponding audit log entries
3. Flag sessions creating multiple admin accounts within short timeframes
4. Detect missing or invalid CSRF tokens in state-changing requests
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تدقيق جميع حسابات المستخدمين الإداريين في تثبيتات Redaxo 5.2 للتحقق من الإضافات غير المصرح بها
2. مراجعة سجلات الوصول للطلبات المريبة لإنشاء حسابات إدارية
3. تطبيق التحقق من رموز CSRF على مستوى جدار الحماية/الوكيل
4. تعطيل Redaxo 5.2 إذا كان هناك بديل؛ الترقية للإصدارات المصححة (5.3+) فوراً
الضوابط التعويضية:
1. تطبيق سمات ملفات تعريف الارتباط SameSite (Strict) على جميع ملفات الجلسة
2. نشر برامج وسيطة للتحقق من رموز CSRF تتطلب رموز إعادة الإرسال المزدوجة
3. تطبيق رؤوس سياسة أمان المحتوى (CSP) لحظر إرسال النماذج عبر الأصول
4. تطبيق سير عمل موافقة إنشاء الحسابات الإدارية يتطلب تأكيداً خارج النطاق
5. تفعيل المصادقة متعددة العوامل لجميع الحسابات الإدارية
6. تقييد وصول لوحة التحكم الإدارية إلى نطاقات IP المدرجة في القائمة البيضاء
7. تطبيق المراقبة المستمرة لأحداث إنشاء حسابات إدارية جديدة
قواعد الكشف:
1. تنبيهات على طلبات POST لنقطة نهاية /users من مراجع خارجية
2. مراقبة إنشاء حسابات إدارية بدون إدخالات سجل تدقيق مقابلة
3. وضع علامة على الجلسات التي تنشئ حسابات إدارية متعددة في فترات زمنية قصيرة
4. الكشف عن رموز CSRF المفقودة أو غير الصحيحة في الطلبات التي تغير الحالة
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.9.2.1 - User registration and access rights management
A.9.4.3 - Password management system requirements
A.14.2.1 - Secure development policy
A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
AC-2: Account Management
AC-3: Access Enforcement
SI-2: Flaw Remediation
SC-5: Denial of Service Protection
🟡 ISO 27001:2022
A.5.15 - Access control
A.6.5.2 - Secure development policy
A.8.2.3 - Segregation of duties
A.12.6.1 - Management of technical vulnerabilities
🟣 PCI DSS v4.0.1
Requirement 6.5.9 - Protection against CSRF attacks
Requirement 8.2.3 - Strong cryptography for authentication