製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Concrete CMSにおける複数の脆弱性

タイトル	Concrete CMSにおける複数の脆弱性
概要	Concrete CMS 9.5.0およびそれ以下のバージョンには、/dashboard/extend/update/prepare_remote_upgrade/remoteMPIDへのリクエストを処理する際にCSRFトークンの検証を行わない脆弱性があります。攻撃者が既知のマーケットプレイスアイテムIDに対して返されるリモートパッケージを制御できる場合、ディスク上のパッケージPHPを上書きし、単一のブラウザナビゲーションでそのupgrade()メソッドを強制的に実行させることが可能です。これにより、ウェブサーバーユーザーとしてリモートコードを実行できます。脆弱である条件は、被害者がcanInstallPackages権限を持ち、被害者サイトがConcreteマーケットプレイスに接続されており、攻撃者が既に被害者サイトにインストールされているマーケットプレイスアイテムIDに対して返されるパッケージを制御していることです。Concrete CMSセキュリティチームはこの脆弱性にCVSS v4.0スコア7.5を付与しました。報告ありがとうございます。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月21日0:00
登録日	2026年5月28日14:36
最終更新日	2026年5月28日14:36

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

影響を受けるシステム

Concrete CMS

Concrete CMS 9.5.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-8426	https://www.cve.org/CVERecord?id=CVE-2026-8426
National Vulnerability Database (NVD)
2	CVE-2026-8426	https://nvd.nist.gov/vuln/detail/CVE-2026-8426

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html
2	CWE-829	https://cwe.mitre.org/data/definitions/829.html

その他

No	名前	URL
関連文書
1	9.5.1 Release Notes :: Concrete CMS	https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes

変更履歴

No	変更内容	変更日
1	[2026年05月28日] 掲載	2026年5月28日14:36

NVD脆弱性情報

CVE-2026-8426

概要	Concrete CMS 9.5.0 and below does not validate a CSRF token before processing requests to /dashboard/extend/update/prepare_remote_upgrade/<remoteMPID>. An attacker who controls the remote package returned for a known marketplace item ID can overwrite the package PHP on disk and force its upgrade() method to execute in a single browser navigation. This results in remote code execution as the web server user. In order to be vulnerable, the victim must be passing canInstallPackages, victim site must be connected to the Concrete marketplace; and the attacker controls the package returned for a marketplace item ID already installed on the victim site. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.5 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks https://github.com/maru1009 for reporting.
公表日	2026年5月22日6:16
登録日	2026年5月23日4:07
最終更新日	2026年5月26日23:57

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:concretecms:concrete_cms::::::::					9.5.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes	ff5b8ace-8b95-4078-9743-eac1ca5451de

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html
3	CWE-829	信頼性のない制御領域からの機能の組み込み	https://cwe.mitre.org/data/definitions/829.html