Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/event/duplicate. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the event duplication dialog controller that allows attackers to perform unauthorized actions. The vulnerability requires user interaction and has limited impact on data integrity with a CVSS v4.0 score of 2.3.
تؤثر هذه الثغرة على Concrete CMS 9 قبل الإصدار 9.5.0 وتسمح للمهاجمين بتنفيذ طلبات غير مصرح بها نيابة عن المستخدمين المصرح لهم. يتطلب الاستغلال تفاعل المستخدم وله تأثير محدود على سلامة البيانات وفقاً لتقييم CVSS v4.0.
Concrete CMS 9 قبل الإصدار 9.5.0 يحتوي على ثغرة CSRF في وحدة التحكم بحوار تكرار الأحداث تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها. تتطلب الثغرة تفاعل المستخدم وتأثيرها محدود على سلامة البيانات.
Upgrade Concrete CMS to version 9.5.0 or later immediately. Implement CSRF token validation on all state-changing operations, particularly in the event duplication functionality. Apply web application firewalls and security headers (SameSite cookies) to mitigate CSRF attacks.
قم بترقية Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. قم بتطبيق التحقق من رموز CSRF على جميع العمليات التي تغير الحالة، خاصة في وظيفة تكرار الأحداث. طبق جدران حماية تطبيقات الويب ورؤوس الأمان (ملفات تعريف الارتباط SameSite) للتخفيف من هجمات CSRF.