製品・ソフトウェアに関する情報

JVN脆弱性詳細

Concrete CMSにおけるクロスサイトスクリプティングの脆弱性

Title	Concrete CMSにおけるクロスサイトスクリプティングの脆弱性
Summary	Concrete CMS バージョン 9.0 から 9.5.0 にかけて、Atomik テーマのページ名を介した保存型 XSS の脆弱性が存在します。悪意のある編集者が任意の JavaScript を注入でき、影響を受けるアカウントページを訪問した認証済みユーザーのコンテキストでそのスクリプトが実行されます。これにより、セッションハイジャックや資格情報の窃取、ユーザーに代わって悪意のある操作が行われる可能性があり、権限昇格のリスクも生じます。Concrete CMS セキュリティチームはこの脆弱性に対して CVSS v4.0 スコア 2.1 を付与し、ベクターは CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N となっています。報告者は Yonatan Drori (Tenzai) に感謝します。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 22, 2026, midnight
Registration Date	May 28, 2026, 2:37 p.m.
Last Update	May 28, 2026, 2:37 p.m.

CVSS3.0 : 警告
Score	4.8
Vector	CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Affected System

Concrete CMS

Concrete CMS 9.0 以上 9.5.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-8353	https://www.cve.org/CVERecord?id=CVE-2026-8353
National Vulnerability Database (NVD)
2	CVE-2026-8353	https://nvd.nist.gov/vuln/detail/CVE-2026-8353

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Concrete CMS
1	9.5.1 Release Notes :: Concrete CMS	https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes

Change Log

No	Changed Details	Date of change
1	[2026年05月28日] 掲載	May 28, 2026, 2:37 p.m.

NVD Vulnerability Information

CVE-2026-8353

Summary	Concrete CMS version 9.0 to 9.5.0 is vulnerable to Stored XSS via page name in the Atomik theme. A rogue editor can inject arbitrary JavaScript that executes in the context of any authenticated user visiting the affected account pages. This can lead to session hijacking, credential theft, malicious actions performed on behalf of users, and potential privilege escalation. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.1 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.
Publication Date	May 23, 2026, 12:16 a.m.
Registration Date	May 27, 2026, 4:05 a.m.
Last Update	May 23, 2026, 4:17 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:concretecms:concrete_cms::::::::		9.0			9.5.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes	ff5b8ace-8b95-4078-9743-eac1ca5451de

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html