Vulnerabilities ›

CVE-2026-8134

High

CWE-23 — Weakness Type

                    Published: May 21, 2026                      ·  Modified: May 28, 2026                      ·  Source: NVD                

CVSS v3

7.2

🔗 NVD Official

📄 Description (English)

Concrete CMS 9.5.0 and below fails to sanitize path traversal sequences in the ptComposerFormLayoutSetControlCustomTemplate field when saving page type composer form layouts. An authenticated rogue administrator with composer form editing rights can exploit this to include arbitrary readable files on the server. Combined with the file uploader's extension-only validation (which permits PHP code in files saved with image extensions like .png), this can result in authenticated remote code execution. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 9.4 with vector CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H Thanks Yonatan Drori (Tenzai) for reporting.

🤖 AI Executive Summary

Concrete CMS 9.5.0 and below contains a path traversal vulnerability in the ptComposerFormLayoutSetControlCustomTemplate field that allows authenticated administrators to include arbitrary files. Combined with weak file upload validation, this enables authenticated remote code execution on affected servers.

📄 Description (Arabic)

تفشل Concrete CMS 9.5.0 وما دونه في تنظيف تسلسلات اجتياز المسار في حقل ptComposerFormLayoutSetControlCustomTemplate عند حفظ تخطيطات نموذج محرر صفحات المؤلف. يمكن لمسؤول مصرح برئ الاستفادة من هذا لتضمين ملفات قابلة للقراءة بشكل تعسفي على الخادم. عند دمجها مع التحقق من الامتداد فقط في محمل الملفات الذي يسمح برمز PHP في الملفات المحفوظة بامتدادات الصور مثل .png، يمكن أن يؤدي هذا إلى تنفيذ أوامر بعيدة مصرح بها.

🤖 ملخص تنفيذي (AI)

Concrete CMS 9.5.0 وما دونه يحتوي على ثغرة اجتياز المسار في حقل ptComposerFormLayoutSetControlCustomTemplate تسمح للمسؤولين المصرحين بتضمين ملفات عشوائية. عند دمجها مع التحقق الضعيف من تحميل الملفات، يمكن تنفيذ أوامر بعيدة مصرح بها على الخوادم المتأثرة.

🤖 AI Intelligence Analysis Analyzed: May 27, 2026 03:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government telecom banking healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1068 T1083 T1105 T1059

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Concrete CMS to version 9.5.1 or later immediately. Restrict composer form editing rights to trusted administrators only. Implement strict file upload validation including MIME type checking and disallow executable extensions. Monitor server logs for suspicious file inclusion attempts and review recent administrator activities.

🔧 خطوات المعالجة (العربية)

قم بترقية Concrete CMS إلى الإصدار 9.5.1 أو أحدث فوراً. قيد حقوق تحرير نموذج المؤلف للمسؤولين الموثوقين فقط. طبق التحقق الصارم من تحميل الملفات بما في ذلك فحص نوع MIME ومنع الامتدادات القابلة للتنفيذ. راقب سجلات الخادم للمحاولات المريبة لتضمين الملفات وراجع أنشطة المسؤول الأخيرة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1 A.12.6.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-4 PR.PT-1

🟡 ISO 27001:2022

A.5.1.1 A.6.1.1 A.6.2.1 A.8.1.1 A.8.2.1 A.8.2.3 A.8.3.1

🔗 References & Sources 1

🔗

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-r...

ff5b8ace-8b95-4078-9743-eac1ca5451de

Release Notes

📦 Affected Products / CPE 1 entries

concretecms:concrete_cms

📊 CVSS Score

7.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.2

CWECWE-23

EPSS0.53%

Exploit No

Patch ✗ No

Published 2026-05-21

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-23

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8134

Introduce Yourself

Sign In Required