Vulnerabilities ›

CVE-2026-8428

High

CWE-352 — Weakness Type

                    Published: May 21, 2026                      ·  Modified: May 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Concrete CMS 9.5.0 and below emits a CSRF token in the local_available_update.php view ($token->output('do_update')) but the corresponding do_update() method in concrete/controllers/single_page/dashboard/system/update/update.php never calls $this->token->validate('do_update'). The form is rendered as a POST form, meaning the token reaches the browser, but because the controller discards it without verification, an attacker can craft a cross-site POST that triggers a core CMS update to an attacker-specified version string. In order to be vulnerable, theictim must be passing canUpgrade()anda valid update version must be present under DIR_CORE_UPDATES. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.

🤖 AI Executive Summary

Concrete CMS 9.5.0 and below contains a Cross-Site Request Forgery (CSRF) vulnerability in the system update functionality where CSRF tokens are generated but never validated. An attacker can craft malicious POST requests to trigger unauthorized core CMS updates to attacker-specified versions.

📄 Description (Arabic)

تحتوي ثغرة CSRF هذه على عدم تطابق بين إنشاء رموز CSRF وتحققها في وحدة تحكم تحديث النظام. يمكن للمهاجمين استغلال هذا لإجبار المسؤولين على تثبيت إصدارات CMS ضارة أو غير مصرح بها عند زيارتهم لمواقع خبيثة.

🤖 ملخص تنفيذي (AI)

نظام إدارة المحتوى Concrete CMS الإصدار 9.5.0 وما دونه يحتوي على ثغرة CSRF في وظيفة تحديث النظام حيث يتم إنشاء رموز CSRF ولكن لا يتم التحقق منها أبداً. يمكن لمهاجم صياغة طلبات POST خبيثة لتفعيل تحديثات CMS أساسية غير مصرح بها.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 21:23

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1204

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Concrete CMS to version 9.5.1 or later immediately. Implement server-side CSRF token validation in the do_update() method. Apply Web Application Firewall (WAF) rules to detect and block suspicious cross-site POST requests targeting update endpoints. Restrict access to update functionality to authenticated administrators only.

🔧 خطوات المعالجة (العربية)

قم بترقية Concrete CMS إلى الإصدار 9.5.1 أو أحدث فوراً. قم بتطبيق التحقق من رموز CSRF على جانب الخادم في طريقة do_update(). طبق قواعد جدار حماية تطبيقات الويب لكشف وحجب طلبات POST المريبة. قيد الوصول إلى وظائف التحديث للمسؤولين المصرح لهم فقط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-10

🟡 ISO 27001:2022

A.5.1.1 A.5.1.2 A.5.2.1 A.5.2.2

🔗 References & Sources 1

🔗

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-r...

ff5b8ace-8b95-4078-9743-eac1ca5451de

Release Notes

📦 Affected Products / CPE 1 entries

concretecms:concrete_cms

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-352

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-21

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-352

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8428

Introduce Yourself

Sign In Required