Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/backend/file star(). The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the backend file star controller that could allow attackers to perform unauthorized actions. The vulnerability requires user interaction and has limited impact on data integrity.
ثغرة تزييف طلب عبر الموقع (CSRF) في وحدة التحكم بملفات النجوم بنظام Concrete CMS 9 تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها نيابة عن المستخدمين المصرح لهم. تتطلب الثغرة تفاعل المستخدم وتؤثر على سلامة البيانات بشكل محدود.
نظام إدارة المحتوى Concrete CMS الإصدار 9 قبل 9.5.0 يحتوي على ثغرة تزييف طلب عبر الموقع (CSRF) في وحدة التحكم بملفات النجوم الخلفية. تتطلب الثغرة تفاعل المستخدم وتؤثر بشكل محدود على سلامة البيانات.
Update Concrete CMS to version 9.5.0 or later immediately. Implement CSRF tokens in all state-changing operations, use SameSite cookie attributes, and enforce Content Security Policy headers. Validate all requests originating from backend controllers.
قم بتحديث Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. طبق رموز CSRF في جميع العمليات التي تغير الحالة، واستخدم سمات ملفات تعريف الارتباط SameSite، وفرض رؤوس سياسة أمان المحتوى. تحقق من صحة جميع الطلبات القادمة من وحدات التحكم الخلفية.