medium CVSS: 5.4/10 28/05/2026

Vulnérabilité medium détectée - CVE-2026-8203

Concrete CMS 9.5.0 and below has Stored XSS on the height parameter. The controller does not validate or sanitize $height. Any user with editor priv...

CVE concernées (1)

CVE-2026-8203

Systèmes affectés

concrete_cms
concretecms

Description

Concrete CMS 9.5.0 and below has Stored XSS on the height parameter. The controller does not validate or sanitize $height. Any user with editor privileges can inject malicious JavaScript that executes in the context of any visitor's browser, potentially leading to session hijacking, credential theft, or other malicious actions. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 7.3 with vector CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. Thanks Alfin Joseph for reporting.

Type de vulnérabilité

CWE-79

Vecteur d'attaque

Complexité : LOW

Privilèges requis : LOW

Interaction utilisateur : REQUIRED

Impact

Confidentialité : LOW
Intégrité : LOW
Disponibilité : NONE

Recommandations

Appliquer les correctifs de sécurité fournis par le vendeur dès que possible.

Recommandations de sécurité

Appliquer immédiatement les correctifs de sécurité
Surveiller les systèmes pour détecter toute tentative d'exploitation

Références et sources

NVD - CVE-2026-8203