Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/dialog/express/association/reorder. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the express association reorder dialog controller that could allow attackers to perform unauthorized actions. The vulnerability affects the concrete/controllers/dialog/express/association/reorder endpoint and requires user interaction to exploit.
تؤثر هذه الثغرة على نقطة نهاية معينة في Concrete CMS 9 المسؤولة عن إعادة ترتيب الارتباطات السريعة. يمكن للمهاجمين استغلال غياب حماية CSRF لإجبار المستخدمين المصرح لهم على تنفيذ إجراءات غير مقصودة. الثغرة تتطلب تفاعل المستخدم وتؤثر على سلامة البيانات.
Concrete CMS 9 قبل الإصدار 9.5.0 يحتوي على ثغرة CSRF في وحدة التحكم بحوار إعادة ترتيب الارتباط السريع. تتطلب الثغرة تفاعلاً من المستخدم للاستغلال وقد تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها.
Update Concrete CMS to version 9.5.0 or later immediately. Implement CSRF tokens in all state-changing requests, validate referer headers, use SameSite cookie attributes, and apply web application firewalls to detect and block CSRF attacks.
قم بتحديث Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. طبق رموز CSRF في جميع الطلبات التي تغير الحالة، تحقق من رؤوس المرجع، استخدم سمات ملفات تعريف الارتباط SameSite، وطبق جدران الحماية لتطبيقات الويب.