الثغرات ›

CVE-2026-8428

مرتفع

CWE-352 — نوع الضعف

                    نُشر: May 21, 2026                      ·  آخر تحديث: May 28, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Concrete CMS 9.5.0 and below emits a CSRF token in the local_available_update.php view ($token->output('do_update')) but the corresponding do_update() method in concrete/controllers/single_page/dashboard/system/update/update.php never calls $this->token->validate('do_update'). The form is rendered as a POST form, meaning the token reaches the browser, but because the controller discards it without verification, an attacker can craft a cross-site POST that triggers a core CMS update to an attacker-specified version string. In order to be vulnerable, theictim must be passing canUpgrade()anda valid update version must be present under DIR_CORE_UPDATES. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.

🤖 ملخص AI

Concrete CMS 9.5.0 and below contains a Cross-Site Request Forgery (CSRF) vulnerability in the system update functionality where CSRF tokens are generated but never validated. An attacker can craft malicious POST requests to trigger unauthorized core CMS updates to attacker-specified versions.

📄 الوصف (العربية)

تحتوي ثغرة CSRF هذه على عدم تطابق بين إنشاء رموز CSRF وتحققها في وحدة تحكم تحديث النظام. يمكن للمهاجمين استغلال هذا لإجبار المسؤولين على تثبيت إصدارات CMS ضارة أو غير مصرح بها عند زيارتهم لمواقع خبيثة.

🤖 ملخص تنفيذي (AI)

نظام إدارة المحتوى Concrete CMS الإصدار 9.5.0 وما دونه يحتوي على ثغرة CSRF في وظيفة تحديث النظام حيث يتم إنشاء رموز CSRF ولكن لا يتم التحقق منها أبداً. يمكن لمهاجم صياغة طلبات POST خبيثة لتفعيل تحديثات CMS أساسية غير مصرح بها.

🤖 التحليل الذكي آخر تحليل: May 26, 2026 21:23

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1204

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Concrete CMS to version 9.5.1 or later immediately. Implement server-side CSRF token validation in the do_update() method. Apply Web Application Firewall (WAF) rules to detect and block suspicious cross-site POST requests targeting update endpoints. Restrict access to update functionality to authenticated administrators only.

🔧 خطوات المعالجة (العربية)

قم بترقية Concrete CMS إلى الإصدار 9.5.1 أو أحدث فوراً. قم بتطبيق التحقق من رموز CSRF على جانب الخادم في طريقة do_update(). طبق قواعد جدار حماية تطبيقات الويب لكشف وحجب طلبات POST المريبة. قيد الوصول إلى وظائف التحديث للمسؤولين المصرح لهم فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-10

🟡 ISO 27001:2022

A.5.1.1 A.5.1.2 A.5.2.1 A.5.2.2

🔗 المراجع والمصادر 1

🔗

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-r...

ff5b8ace-8b95-4078-9743-eac1ca5451de

Release Notes

📦 المنتجات المتأثرة 1 منتج

concretecms:concrete_cms

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-352

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-21

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-352

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8428

عرّفنا بنفسك

تسجيل الدخول مطلوب