الثغرات ›

CVE-2026-8421

مرتفع

CWE-352 — نوع الضعف

                    نُشر: May 21, 2026                      ·  آخر تحديث: May 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Concrete CMS 9.5.0 and below contains a CSRF vulnerability in the install_package() method of concrete/controllers/single_page/dashboard/extend/install.php. An attacker who can cause an authenticated administrator to visit a crafted page, and who has placed or caused a package to be present under DIR_PACKAGES/<handle>/, can force the installation of that package without any CSRF protection. Package installation executes the package controller's install() method as the web server user, enabling remote code execution. In order to be vulnerable, the victim must be passing canInstallPackages. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.

🤖 ملخص AI

Concrete CMS 9.5.0 and below contains a CSRF vulnerability in package installation that allows authenticated administrators to be tricked into installing malicious packages, leading to remote code execution. An attacker must place a package in the server directory and trick an admin into visiting a crafted page to exploit this vulnerability.

📄 الوصف (العربية)

تحتوي ثغرة CSRF هذه على نقص في الحماية من طلبات التزييف عبر المواقع في وظيفة تثبيت الحزم. يمكن للمهاجم إجبار مسؤول مصرح عليه على تثبيت حزمة ضارة موجودة على الخادم بمجرد زيارة صفحة معدة. يؤدي تنفيذ كود التثبيت إلى تنفيذ أكواد بعيدة بصلاحيات مستخدم خادم الويب.

🤖 ملخص تنفيذي (AI)

Concrete CMS 9.5.0 وما دونه يحتوي على ثغرة CSRF في تثبيت الحزم تسمح لمسؤولي النظام بتثبيت حزم ضارة دون قصد، مما يؤدي إلى تنفيذ أكواد بعيدة. يجب على المهاجم وضع حزمة على الخادم وخداع المسؤول لزيارة صفحة معدة مسبقاً لاستغلال الثغرة.

🤖 التحليل الذكي آخر تحليل: May 26, 2026 21:22

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1204

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Update Concrete CMS to version 9.5.1 or later immediately. Implement CSRF tokens in the install_package() method. Restrict package directory permissions and monitor DIR_PACKAGES for unauthorized files. Educate administrators about phishing risks and suspicious links.

🔧 خطوات المعالجة (العربية)

قم بتحديث Concrete CMS إلى الإصدار 9.5.1 أو أحدث فوراً. طبق رموز CSRF في طريقة install_package(). قيد صلاحيات مجلد الحزم ومراقبة DIR_PACKAGES للملفات غير المصرح بها. علم المسؤولين عن مخاطر التصيد الاحتيالي والروابط المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.1.1 A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.2.1

🔗 المراجع والمصادر 1

🔗

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-r...

ff5b8ace-8b95-4078-9743-eac1ca5451de

Release Notes

📦 المنتجات المتأثرة 1 منتج

concretecms:concrete_cms

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-352

EPSS0.08%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-21

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-352

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8421

عرّفنا بنفسك

تسجيل الدخول مطلوب