CVE-2026-8337— Concrete CMS 9.5.0及以下版本调查模块存在IDOR漏洞
可能的 ATT&CK 技术 1AI
T1059 · Command and Scripting Interpreter影响版本矩阵 1
| 厂商 | 产品 | 版本范围 | 状态 |
|---|---|---|---|
| Concrete CMS | Concrete CMS | 5.0≤ 9.5.0 | affected |
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-8337 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Concrete CMS 9.5.0 and below is vulnerable to IDOR in surveys when sites are running concurrent public surveys and private surveys
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Concrete CMS 9.5.0 and below is vulnerable to IDOR in surveys. To be vulnerable, a site would have to be configured in such a way that both public and private surveys are present on the site. An unauthenticated attacker can vote in the restricted survey by submitting the restricted optionID through the public survey’s endpoint. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 6.3 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Zer0daySec https://github.com/Zee99y for reporting
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
通过用户控制密钥绕过授权机制
来源: 美国国家漏洞数据库 NVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| Concrete CMS | Concrete CMS | 5.0 ~ 9.5.0 | - |
二、漏洞 CVE-2026-8337 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-8337 的情报信息
请登录查看更多情报信息。
厂商 · 1
同批安全公告 · Concrete CMS · 2026-05-21 · 共 41 条
| CVE-2026-8240 | Concrete CMS 9.5.0 以下版本后端页面元数据未授权泄露漏洞 | |
| CVE-2026-8416 | Concrete CMS 9.5.0前 CSRF漏洞 | |
| CVE-2026-8412 | Concrete CMS 9.5.0 前跨站请求伪造漏洞 | |
| CVE-2026-8237 | Concrete CMS 9.5.0 及以下版本 IDOR 漏洞 | |
| CVE-2026-8434 | Concrete CMS 9 跨站请求伪造漏洞 | |
| CVE-2026-8435 | Concrete CMS 9.5.0 前 CSRF 漏洞 | |
| CVE-2026-8414 | Concrete CMS 9.5.0 前 CSRF 漏洞 | |
| CVE-2026-8433 | Concrete CMS 9.5.0 前文件扫描功能CSRF漏洞 | |
| CVE-2026-8239 | Concrete CMS 9.5.0 及以下版本 IDOR 漏洞 | |
| CVE-2026-8411 | Concrete CMS 9.5.0前跨站请求伪造漏洞 | |
| CVE-2026-8432 | Concrete CMS 9.5.0之前版本CSRF漏洞 | |
| CVE-2026-8236 | Concrete CMS 9.5.0 存在越权读取漏洞 | |
| CVE-2026-8413 | Concrete CMS 9 跨站请求伪造漏洞 | |
| CVE-2026-8415 | Concrete CMS <9.5.0 跨站请求伪造漏洞 | |
| CVE-2026-8427 | Concrete CMS 9.5.0 前跨站请求伪造漏洞 | |
| CVE-2026-8238 | Concrete CMS 9.5.0及之前版本越权读取漏洞 | |
| CVE-2026-8245 | Concrete CMS ≤9.5.0 遗留分页反射型XSS漏洞 | |
| CVE-2026-7890 | Concrete CMS 9.5.0 RSS模块服务器端请求伪造漏洞 | |
| CVE-2026-8139 | Concrete CMS 9.5.0 以下版本存储型XSS漏洞 | |
| CVE-2026-8409 | Concrete CMS 9.5.0之前 跨站请求伪造漏洞 |
显示前 20 条,共 41 条。 查看全部 → →
IV. Related Vulnerabilities
V. Comments for CVE-2026-8337
暂无评论