CVE Security

Powered by o2Cloud

 Retour
medium CVSS: 4.8/10 29/05/2026
Applications Web

Vulnérabilité medium détectée - CVE-2026-8353

Concrete CMS version 9.0 to 9.5.0 is vulnerable to Stored XSS via page name in the Atomik theme. A rogue editor can inject arbitrary JavaScript that ...

CVE concernées (1)

CVE-2026-8353

Systèmes affectés

  • concrete_cms
  • concretecms

Description

Concrete CMS version 9.0 to 9.5.0 is vulnerable to Stored XSS via page name in the Atomik theme. A rogue editor can inject arbitrary JavaScript that executes in the context of any authenticated user visiting the affected account pages. This can lead to session hijacking, credential theft, malicious actions performed on behalf of users, and potential privilege escalation. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.1 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

Type de vulnérabilité

  • CWE-79

Vecteur d'attaque

Complexité : LOW

Privilèges requis : HIGH

Interaction utilisateur : REQUIRED

Impact

  • Confidentialité : LOW
  • Intégrité : LOW
  • Disponibilité : NONE

Recommandations

Appliquer les correctifs de sécurité fournis par le vendeur dès que possible.

Recommandations de sécurité

  • Appliquer immédiatement les correctifs de sécurité
  • Surveiller les systèmes pour détecter toute tentative d'exploitation

Références et sources

NVD - CVE-2026-8353