Concrete CMSにおけるユーザ制御の鍵による認証回避に関する脆弱性
| Title |
Concrete CMSにおけるユーザ制御の鍵による認証回避に関する脆弱性
|
| Summary |
Concrete CMS 9.5.0以下には、attachments[]パラメータを介したAddMessageおよびUpdateMessageにおけるIDORの脆弱性が存在し、ファイル権限のバイパスにつながる可能性があります。AddMessageおよびUpdateMessageの会話コントローラーは、ユーザーが提供したファイル添付IDを受け入れ、ファイルごとの権限チェック(canViewFile())を行わずに、$em-find(File::class, $attachmentID)で直接ファイルを読み込んでいます。任意の会話に投稿できるユーザーは、CMSのファイルマネージャの連続IDを用いて任意のファイルを参照でき、実質的にファイル権限システムをバイパスしてしまいます。Concrete CMSセキュリティチームはこの脆弱性に対し、CVSS v.4.0スコア2.3(ベクターCVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)を付与しました。報告者のTristan Mandaniに感謝します。サイトに真にプライベートなファイルがある場合、オーナーはウェブルート外のプライベートストレージロケーション(https://documentation.concretecms.org/user-guide/editors-reference/dashboard/system-and-maintenance/files/file-storage-locations)を設定し、閲覧時に権限をチェックできるようにすべきです。これにより、認可されたユーザーがファイルを添付またはリンクしても、認可されていないユーザーはファイルを閲覧できなくなります。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 21, 2026, midnight |
| Registration Date |
May 28, 2026, 2:38 p.m. |
| Last Update |
May 28, 2026, 2:38 p.m. |
|
CVSS3.0 : 警告
|
| Score |
4.3
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Affected System
| Concrete CMS |
|
Concrete CMS 9.5.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月28日]
掲載 |
May 28, 2026, 2:38 p.m. |
NVD Vulnerability Information
CVE-2026-7886
| Summary |
Concrete CMS 9.5.0 and below is vulnerable to IDOR in AddMessage/UpdateMessage via attachments[] parameter which can lead to file permission bypass. The `AddMessage` and `UpdateMessage` conversation controllers accept user-supplied file attachment IDs and load files directly via `$em->find(File::class, $attachmentID)` without checking per-file permissions (`canViewFile()`). A user who can post in any conversation can reference any file in the CMS file manager by its sequential ID, effectively bypassing the file permission system. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with a vector CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Tristan Mandani for reporting. if a site truly has private files, the owner should set up a private storage location https://documentation.concretecms.org/user-guide/editors-reference/dashboard/system-and-maintenance/files/file-storage-locations outside of the webroot so that permissions can be checked on view as well. That way, even if a authorized user attaches a file, or otherwise links to it, unauthorized users won't be able to view the file.
|
| Publication Date |
May 22, 2026, 7:16 a.m. |
| Registration Date |
May 23, 2026, 4:07 a.m. |
| Last Update |
May 23, 2026, 4:19 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* |
|
|
|
9.5.1 |
Related information, measures and tools
Common Vulnerabilities List