Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/backend/file addFavoriteFolder($id). The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the file favorite folder functionality that allows attackers to perform unauthorized actions. The vulnerability affects the backend controller and requires user interaction to exploit, with limited impact on data integrity.
ثغرة تزييف طلب عبر الموقع (CSRF) في وحدة التحكم الخلفية لنظام Concrete CMS 9 تسمح للمهاجمين بإجبار المستخدمين المصرح لهم على تنفيذ إجراءات غير مقصودة. تتطلب الثغرة تفاعل المستخدم وتؤثر على سلامة البيانات بشكل محدود مع درجة CVSS 2.3 في الإصدار 4.0.
نظام إدارة المحتوى Concrete CMS 9 قبل الإصدار 9.5.0 يحتوي على ثغرة تزييف طلب عبر الموقع (CSRF) في وظيفة المجلد المفضل للملفات. تؤثر الثغرة على وحدة التحكم الخلفية وتتطلب تفاعل المستخدم للاستغلال مع تأثير محدود على سلامة البيانات.
Upgrade Concrete CMS to version 9.5.0 or later immediately. Implement CSRF token validation on all state-changing operations, enforce SameSite cookie attributes, and apply web application firewall rules to detect and block CSRF attacks. Conduct security awareness training for users on phishing and malicious link risks.
قم بترقية نظام Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. طبق التحقق من رموز CSRF على جميع العمليات التي تغير الحالة، وفرض سمات ملفات تعريف الارتباط SameSite، وطبق قواعد جدار الحماية لتطبيقات الويب. قم بتدريب المستخدمين على الوعي الأمني بشأن مخاطر الرسائل المزيفة والروابط الضارة.