Vulnerabilities ›

CVE-2026-8433

High

CWE-352 — Weakness Type

                    Published: May 21, 2026                      ·  Modified: May 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/backend/file rescan(). The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

🤖 AI Executive Summary

Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the file rescan backend controller that could allow attackers to perform unauthorized actions. The vulnerability requires user interaction and has limited impact on integrity with a CVSS v4.0 score of 2.3.

📄 Description (Arabic)

ثغرة CSRF في Concrete CMS 9 تسمح للمهاجمين بتنفيذ عمليات غير مصرح بها على وحدة إعادة فحص الملفات. تتطلب الثغرة تفاعل المستخدم وتؤثر بشكل محدود على سلامة البيانات. يجب ترقية النظام إلى الإصدار 9.5.0 أو أحدث.

🤖 ملخص تنفيذي (AI)

نظام إدارة المحتوى Concrete CMS الإصدار 9 قبل 9.5.0 يحتوي على ثغرة CSRF في وحدة التحكم بإعادة فحص الملفات. الثغرة تتطلب تفاعل المستخدم وتؤثر بشكل محدود على سلامة البيانات.

🤖 AI Intelligence Analysis Analyzed: May 27, 2026 03:48

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government healthcare

🎯 MITRE ATT&CK Techniques

T1548 T1566

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Concrete CMS to version 9.5.0 or later immediately. Implement CSRF token validation for all state-changing operations in backend controllers. Apply security patches and conduct security testing to verify the fix.

🔧 خطوات المعالجة (العربية)

قم بترقية Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. طبق التحقق من رموز CSRF لجميع العمليات التي تغير الحالة. طبق التصحيحات الأمنية وأجرِ اختبارات أمنية للتحقق من الإصلاح.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 SI-10

🟡 ISO 27001:2022

A.13.1.1 A.13.2.1

🔗 References & Sources 1

🔗

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-r...

ff5b8ace-8b95-4078-9743-eac1ca5451de

Release Notes

📦 Affected Products / CPE 1 entries

concretecms:concrete_cms

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-352

EPSS0.02%

Exploit No

Patch ✗ No

Published 2026-05-21

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-352

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8433

Introduce Yourself

Sign In Required