製品・ソフトウェアに関する情報

JVN脆弱性詳細

Concrete CMSにおけるクロスサイトリクエストフォージェリの脆弱性

Title	Concrete CMSにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	Concrete CMS 9.5.0以下には、DeleteFileコントローラーでの逆転したCSRFトークンチェックにより、無許可のファイル削除が可能になる脆弱性があります。コードは、トークンが有効な場合にエラーを発生させ、一方でトークンが無効または欠如している場合にファイル削除を実行します。これによりファイル削除エンドポイントのCSRF保護が実質的に無効化され、会話メッセージの編集権限を持つユーザーを標的としたクロスサイトリクエストフォージェリ攻撃が可能となります。Concrete CMSセキュリティチームは本脆弱性に対してCVSS v4.0のスコア2.3（ベクター：CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N）を付与しました。報告者のTristan Mandani氏に感謝します。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	May 21, 2026, midnight
Registration Date	May 28, 2026, 2:38 p.m.
Last Update	May 28, 2026, 2:38 p.m.

CVSS3.0 : 警告
Score	4.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Affected System

Concrete CMS

Concrete CMS 9.5.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-7882	https://www.cve.org/CVERecord?id=CVE-2026-7882
National Vulnerability Database (NVD)
2	CVE-2026-7882	https://nvd.nist.gov/vuln/detail/CVE-2026-7882

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

その他

No	Name	URL
関連文書
1	9.5.1 Release Notes :: Concrete CMS	https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes

Change Log

No	Changed Details	Date of change
1	[2026年05月28日] 掲載	May 28, 2026, 2:38 p.m.

NVD Vulnerability Information

CVE-2026-7882

Summary	Concrete CMS 9.5.0 and below is vulnerable to unauthorized file deletion due to an Inverted CSRF token check in the DeleteFile controller. The code throws an error when the token IS valid and proceeds with file deletion when the token is invalid or missing. This effectively disables CSRF protection for the file deletion endpoint, allowing cross-site request forgery attacks against users who have permission to edit conversation messages. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.3 with a vector of CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Tristan Mandani for reporting.
Publication Date	May 22, 2026, 7:16 a.m.
Registration Date	May 23, 2026, 4:07 a.m.
Last Update	May 26, 2026, 11:56 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:concretecms:concrete_cms::::::::					9.5.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes	ff5b8ace-8b95-4078-9743-eac1ca5451de

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html