| タイトル | Concrete CMSにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Concrete CMS バージョン 9.0 から 9.5.0 にかけて、Atomik テーマのページ名を介した保存型 XSS の脆弱性が存在します。悪意のある編集者が任意の JavaScript を注入でき、影響を受けるアカウントページを訪問した認証済みユーザーのコンテキストでそのスクリプトが実行されます。これにより、セッションハイジャックや資格情報の窃取、ユーザーに代わって悪意のある操作が行われる可能性があり、権限昇格のリスクも生じます。Concrete CMS セキュリティチームはこの脆弱性に対して CVSS v4.0 スコア 2.1 を付与し、ベクターは CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N となっています。報告者は Yonatan Drori (Tenzai) に感謝します。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月22日0:00 |
| 登録日 | 2026年5月28日14:37 |
| 最終更新日 | 2026年5月28日14:37 |
| CVSS3.0 : 警告 | |
| スコア | 4.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
| Concrete CMS |
| Concrete CMS 9.0 以上 9.5.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
2026年5月28日14:37 |
| 概要 | Concrete CMS version 9.0 to 9.5.0 is vulnerable to Stored XSS via page name in the Atomik theme. A rogue editor can inject arbitrary JavaScript that executes in the context of any authenticated user visiting the affected account pages. This can lead to session hijacking, credential theft, malicious actions performed on behalf of users, and potential privilege escalation. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.1 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting. |
|---|---|
| 公表日 | 2026年5月23日0:16 |
| 登録日 | 2026年5月27日4:05 |
| 最終更新日 | 2026年5月23日4:17 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 9.0 | 9.5.1 | |||