| タイトル | Concrete CMSにおける複数の脆弱性 |
|---|---|
| 概要 | Concrete CMS 9.5.0以下のバージョンには、アンケートにおけるIDORの脆弱性があります。この脆弱性が発生するためには、サイトが公開アンケートと非公開アンケートの両方を含むように設定されている必要があります。認証されていない攻撃者は、公開アンケートのエンドポイントを通じて制限されたoptionIDを送信し、制限されたアンケートに投票することが可能です。Concrete CMSのセキュリティチームは、この脆弱性に対しCVSS v4.0に基づくスコアを6.3と評価しており、ベクターはCVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:Nとしています。報告者はZer0daySec(https://github.com/Zee99y)です。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月21日0:00 |
| 登録日 | 2026年5月28日14:37 |
| 最終更新日 | 2026年5月28日14:37 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Concrete CMS |
| Concrete CMS 9.5.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
2026年5月28日14:37 |
| 概要 | Concrete CMS 9.5.0 and below is vulnerable to IDOR in surveys. To be vulnerable, a site would have to be configured in such a way that both public and private surveys are present on the site. An unauthenticated attacker can vote in the restricted survey by submitting the restricted optionID through the public survey’s endpoint. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Zer0daySec https://github.com/Zee99y for reporting |
|---|---|
| 公表日 | 2026年5月22日7:16 |
| 登録日 | 2026年5月23日4:07 |
| 最終更新日 | 2026年5月27日2:13 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 9.5.1 | ||||