Concrete CMS 9 before 9.5.0 is vulnerable to Cross Site Request Forgery (CSRF) at concrete/controllers/backend/file rescanMultiple(). The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Concrete CMS 9 before version 9.5.0 contains a Cross-Site Request Forgery (CSRF) vulnerability in the file rescanMultiple() function that could allow attackers to perform unauthorized actions. The vulnerability requires user interaction and has limited impact on data integrity.
ثغرة CSRF في Concrete CMS 9 تؤثر على وظيفة rescanMultiple() في المتحكم الخلفي، مما يسمح للمهاجمين بخداع المستخدمين المصرح لهم لتنفيذ إجراءات ملفات غير مقصودة. يتطلب الاستغلال تفاعل المستخدم والوصول إلى شبكة، مع تأثير محدود على سلامة البيانات.
Concrete CMS 9 إصدار 9.5.0 السابق يحتوي على ثغرة CSRF في وظيفة rescanMultiple() التي قد تسمح للمهاجمين بتنفيذ إجراءات غير مصرح بها. تتطلب الثغرة تفاعل المستخدم وتأثيرها محدود على سلامة البيانات.
Update Concrete CMS to version 9.5.0 or later immediately. Implement CSRF tokens in all state-changing requests, use SameSite cookie attributes, and enforce strict Content Security Policy headers. Validate all file operations through proper authentication mechanisms.
قم بتحديث Concrete CMS إلى الإصدار 9.5.0 أو أحدث فوراً. طبق رموز CSRF في جميع الطلبات التي تغير الحالة، واستخدم سمات ملفات تعريف الارتباط SameSite، وفرض رؤوس سياسة أمان المحتوى الصارمة. تحقق من جميع عمليات الملفات من خلال آليات المصادقة المناسبة.