Vulnerabilities ›

CVE-2026-8421

High

CWE-352 — Weakness Type

                    Published: May 21, 2026                      ·  Modified: May 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Concrete CMS 9.5.0 and below contains a CSRF vulnerability in the install_package() method of concrete/controllers/single_page/dashboard/extend/install.php. An attacker who can cause an authenticated administrator to visit a crafted page, and who has placed or caused a package to be present under DIR_PACKAGES/<handle>/, can force the installation of that package without any CSRF protection. Package installation executes the package controller's install() method as the web server user, enabling remote code execution. In order to be vulnerable, the victim must be passing canInstallPackages. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.

🤖 AI Executive Summary

Concrete CMS 9.5.0 and below contains a CSRF vulnerability in package installation that allows authenticated administrators to be tricked into installing malicious packages, leading to remote code execution. An attacker must place a package in the server directory and trick an admin into visiting a crafted page to exploit this vulnerability.

📄 Description (Arabic)

تحتوي ثغرة CSRF هذه على نقص في الحماية من طلبات التزييف عبر المواقع في وظيفة تثبيت الحزم. يمكن للمهاجم إجبار مسؤول مصرح عليه على تثبيت حزمة ضارة موجودة على الخادم بمجرد زيارة صفحة معدة. يؤدي تنفيذ كود التثبيت إلى تنفيذ أكواد بعيدة بصلاحيات مستخدم خادم الويب.

🤖 ملخص تنفيذي (AI)

Concrete CMS 9.5.0 وما دونه يحتوي على ثغرة CSRF في تثبيت الحزم تسمح لمسؤولي النظام بتثبيت حزم ضارة دون قصد، مما يؤدي إلى تنفيذ أكواد بعيدة. يجب على المهاجم وضع حزمة على الخادم وخداع المسؤول لزيارة صفحة معدة مسبقاً لاستغلال الثغرة.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 21:22

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1204

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Update Concrete CMS to version 9.5.1 or later immediately. Implement CSRF tokens in the install_package() method. Restrict package directory permissions and monitor DIR_PACKAGES for unauthorized files. Educate administrators about phishing risks and suspicious links.

🔧 خطوات المعالجة (العربية)

قم بتحديث Concrete CMS إلى الإصدار 9.5.1 أو أحدث فوراً. طبق رموز CSRF في طريقة install_package(). قيد صلاحيات مجلد الحزم ومراقبة DIR_PACKAGES للملفات غير المصرح بها. علم المسؤولين عن مخاطر التصيد الاحتيالي والروابط المريبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.1.1 A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.2.1

🔗 References & Sources 1

🔗

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-r...

ff5b8ace-8b95-4078-9743-eac1ca5451de

Release Notes

📦 Affected Products / CPE 1 entries

concretecms:concrete_cms

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-352

EPSS0.08%

Exploit No

Patch ✗ No

Published 2026-05-21

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-352

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8421

Introduce Yourself

Sign In Required