الثغرات ›

CVE-2026-8411

مرتفع

CWE-352 — نوع الضعف

                    نُشر: May 21, 2026                      ·  آخر تحديث: May 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/delete. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

🤖 ملخص AI

Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the bulk page deletion dialog that could allow attackers to perform unauthorized actions on behalf of authenticated users. While the CVSS v4.0 score is relatively low (2.3), the vulnerability requires user interaction and specific conditions to exploit. Organizations using Concrete CMS for content management should prioritize upgrading to version 9.5.0 or later when available.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 27, 2026 02:40

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily affects Saudi organizations using Concrete CMS for website and content management, including government agencies, educational institutions, and private sector companies managing public-facing websites. The impact is moderate as CSRF attacks require user interaction and authenticated sessions. Government entities under NCA oversight and organizations subject to SAMA regulations managing web-based services face the highest risk. The vulnerability could lead to unauthorized deletion of critical web content, defacement, or manipulation of published information.

🏢 القطاعات السعودية المتأثرة

Government and Public Administration Education and Universities Healthcare and Medical Institutions Financial Services and Banking Telecommunications Media and Publishing E-commerce and Retail Non-Governmental Organizations

🎯 تقنيات MITRE ATT&CK

T1189 - Drive-by Compromise T1566 - Phishing T1204 - User Execution T1539 - Data from Cloud Storage

⚖️ درجة المخاطر السعودية (AI)

5.2

/ 10.0

🔧 Remediation Steps (English)

1. IMMEDIATE ACTIONS:

   - Identify all Concrete CMS 9 installations in your environment

   - Document current versions and deployment locations

   - Restrict administrative access to CMS interfaces where possible

   - Review recent page deletion logs for suspicious activity



2. PATCHING GUIDANCE:

   - Upgrade to Concrete CMS 9.5.0 or later when released

   - Test patches in non-production environments first

   - Plan maintenance windows for production upgrades



3. COMPENSATING CONTROLS (until patch available):

   - Implement CSRF tokens validation at web application firewall level

   - Use SameSite cookie attributes (Strict or Lax) for session cookies

   - Enforce Content Security Policy (CSP) headers

   - Implement additional authentication for bulk operations

   - Restrict CMS admin panel access by IP whitelist

   - Require re-authentication for sensitive operations like bulk deletion



4. DETECTION RULES:

   - Monitor POST requests to /concrete/controllers/dialog/page/bulk/delete

   - Alert on bulk page deletion operations from unusual sources

   - Track failed CSRF token validations in application logs

   - Monitor for cross-origin requests to CMS admin interfaces

🔧 خطوات المعالجة (العربية)

1. الإجراءات الفورية:

   - تحديد جميع تثبيتات Concrete CMS 9 في بيئتك

   - توثيق الإصدارات الحالية ومواقع النشر

   - تقييد الوصول الإداري لواجهات CMS حيث أمكن

   - مراجعة سجلات حذف الصفحات الأخيرة للنشاط المريب



2. إرشادات التصحيح:

   - الترقية إلى Concrete CMS 9.5.0 أو أحدث عند إصداره

   - اختبار التصحيحات في بيئات غير الإنتاج أولاً

   - التخطيط لنوافذ الصيانة لترقيات الإنتاج



3. الضوابط البديلة (حتى توفر التصحيح):

   - تطبيق التحقق من رموز CSRF على مستوى جدار الحماية

   - استخدام سمات ملفات تعريف الارتباط SameSite (Strict أو Lax)

   - تطبيق رؤوس سياسة أمان المحتوى (CSP)

   - تطبيق مصادقة إضافية للعمليات الجماعية

   - تقييد وصول لوحة تحكم CMS بقائمة IP البيضاء

   - طلب إعادة المصادقة للعمليات الحساسة مثل الحذف الجماعي



4. قواعد الكشف:

   - مراقبة طلبات POST إلى /concrete/controllers/dialog/page/bulk/delete

   - تنبيهات على عمليات حذف الصفحات الجماعية من مصادر غير عادية

   - تتبع فشل التحقق من رموز CSRF في سجلات التطبيق

   - مراقبة الطلبات عبر الأصول إلى واجهات إدارة CMS

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Information security policies and procedures A.6.1.1 - Access control policy A.6.2.1 - User registration and access rights management A.8.2.1 - User awareness and training A.8.3.1 - Incident management procedures

🔵 SAMA CSF

ID.BE-1 - Governance and risk management PR.AC-1 - Access control policy and procedures PR.AC-4 - Access rights and privileges DE.CM-1 - Detection and analysis

🟡 ISO 27001:2022

A.5.1 - Management direction for information security A.6.1 - Organizational controls A.6.2 - Information security roles and responsibilities A.8.1 - Awareness and training A.8.2 - Information security incident management

🔗 المراجع والمصادر 1

🔗

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-r...

ff5b8ace-8b95-4078-9743-eac1ca5451de

Release Notes

📦 المنتجات المتأثرة 1 منتج

concretecms:concrete_cms

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-352

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-21

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.2

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-352

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8411

عرّفنا بنفسك

تسجيل الدخول مطلوب