Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/page/bulk/design. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the bulk page design dialog controller that allows attackers to perform unauthorized actions. The vulnerability requires user interaction and has limited impact on data integrity according to CVSS v4.0 scoring.
تؤثر هذه الثغرة على Concrete CMS 9 قبل الإصدار 9.5.0 وتسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها على صفحات التصميم الجماعي. الثغرة تتطلب تفاعل المستخدم وتم الإبلاغ عنها من قبل Yonatan Drori من Tenzai.
Concrete CMS 9 قبل الإصدار 9.5.0 يحتوي على ثغرة CSRF في وحدة تحكم حوار تصميم الصفحات الجماعية. تتطلب الثغرة تفاعل المستخدم وتؤثر بشكل محدود على سلامة البيانات.
Upgrade Concrete CMS to version 9.5.0 or later immediately. Implement CSRF tokens in all state-changing requests, validate referrer headers, and use SameSite cookie attributes. Apply web application firewalls to detect and block CSRF attacks.
قم بترقية Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. قم بتنفيذ رموز CSRF في جميع الطلبات التي تغير الحالة والتحقق من رؤوس المرجع واستخدام سمات ملفات تعريف الارتباط SameSite. طبق جدران حماية تطبيقات الويب لكشف وحجب هجمات CSRF.