製品・ソフトウェアに関する情報
Vulnerability Search
Concrete CMSにおける複数の脆弱性
Title Concrete CMSにおける複数の脆弱性
Summary

Concrete CMS 9.5.0以下のバージョンには、アンケートにおけるIDORの脆弱性があります。この脆弱性が発生するためには、サイトが公開アンケートと非公開アンケートの両方を含むように設定されている必要があります。認証されていない攻撃者は、公開アンケートのエンドポイントを通じて制限されたoptionIDを送信し、制限されたアンケートに投票することが可能です。Concrete CMSのセキュリティチームは、この脆弱性に対しCVSS v4.0に基づくスコアを6.3と評価しており、ベクターはCVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:Nとしています。報告者はZer0daySec(https://github.com/Zee99y)です。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

Publication Date May 21, 2026, midnight
Registration Date May 28, 2026, 2:37 p.m.
Last Update May 28, 2026, 2:37 p.m.
CVSS3.0 : 警告
Score 5.3
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Affected System
Concrete CMS
Concrete CMS 9.5.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年05月28日]
  掲載		 May 28, 2026, 2:37 p.m.
NVD Vulnerability Information
CVE-2026-8337
Summary

Concrete CMS 9.5.0 and below is vulnerable to IDOR in surveys. To be vulnerable, a site would have to be configured in such a way that both public and private surveys are present on the site. An unauthenticated attacker can vote in the restricted survey by submitting the restricted optionID through the public survey’s endpoint. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks  Zer0daySec https://github.com/Zee99y  for reporting

Publication Date May 22, 2026, 7:16 a.m.
Registration Date May 23, 2026, 4:07 a.m.
Last Update May 27, 2026, 2:13 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* 9.5.1
Related information, measures and tools
Common Vulnerabilities List