Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/backend/file removeFavoriteFolder($id). The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Concrete CMS 9 versions before 9.5.0 contain a Cross-Site Request Forgery (CSRF) vulnerability in the removeFavoriteFolder function that allows attackers to perform unauthorized actions. The vulnerability requires user interaction and has limited impact on data integrity.
تؤثر هذه الثغرة على نظام إدارة المحتوى Concrete CMS الإصدار 9 قبل 9.5.0 حيث يمكن للمهاجمين استغلال نقص التحقق من CSRF في وظيفة removeFavoriteFolder. يتطلب الاستغلال تفاعل المستخدم المستهدف مع رابط ضار، مما قد يؤدي إلى حذف مجلدات المفضلة بدون إذن.
نظام إدارة المحتوى Concrete CMS 9 قبل الإصدار 9.5.0 يحتوي على ثغرة CSRF في وظيفة removeFavoriteFolder تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها. تتطلب الثغرة تفاعل المستخدم وتأثيرها محدود على سلامة البيانات.
Upgrade Concrete CMS to version 9.5.0 or later immediately. Implement CSRF token validation on all state-changing operations, use SameSite cookie attributes, and apply Content Security Policy headers to prevent cross-origin requests.
قم بترقية Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. طبق التحقق من رموز CSRF على جميع العمليات التي تغير الحالة، واستخدم سمات ملفات تعريف الارتباط SameSite، وطبق رؤوس سياسة أمان المحتوى لمنع الطلبات عبر الأصول.