Plattform
php
Komponente
concrete5/concrete5
Behoben in
9.4.8
9.4.8
CVE-2026-3241 is a critical Remote Code Execution (RCE) vulnerability found in the openclaw component. This flaw allows non-admin operators to self-claim the operator.admin scope, bypassing pairing and potentially gaining full control of the system. The vulnerability impacts versions of openclaw up to and including 2026.3.24, and a fix is available in version 2026.3.25.
CVE-2026-3241 betrifft Concrete CMS-Versionen vor 9.4.8 und weist eine Cross-Site Scripting (XSS)-Schwachstelle im 'Legacy Form'-Block auf. Ein authentifizierter Benutzer mit Berechtigungen zum Erstellen oder Bearbeiten von Formularen (z. B. ein bösartiger Administrator) kann eine persistente JavaScript-Payload in die Optionen einer Multiple-Choice-Frage (Kontrollkästchenliste, Radio-Buttons oder Dropdown-Liste) injizieren. Diese Payload wird dann im Browser jedes Benutzers ausgeführt, der die Seite mit dem Formular aufruft. Der potenzielle Schaden umfasst den Diebstahl von Cookies, die Weiterleitung auf bösartige Websites, die Änderung des Seiteninhalts oder die Ausführung von beliebigem Code im Kontext des betroffenen Benutzers. Die Schwere der Schwachstelle wird mit CVSS 4.8 bewertet.
Die Schwachstelle wird durch die Manipulation der Optionen in einer 'Kontrollkästchenliste', 'Radio-Buttons' oder 'Dropdown-Liste'-Frage innerhalb eines 'Legacy Form'-Formulars ausgenutzt. Ein Angreifer mit Formularbearbeitungsrechten kann bösartigen JavaScript-Code in diese Optionen injizieren. Wenn ein Benutzer die Seite mit dem Formular aufruft, führt sein Browser den injizierten JavaScript-Code aus, wodurch der Angreifer bösartige Aktionen ausführen kann. Die persistente Natur der Payload bedeutet, dass die Schwachstelle weiterhin besteht, bis die Korrektur angewendet wird.
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-3241 besteht darin, Concrete CMS auf Version 9.4.8 oder höher zu aktualisieren. Dieses Update behebt die XSS-Schwachstelle, indem die Benutzereingaben im 'Legacy Form'-Block korrekt validiert und maskiert werden. Es wird dringend empfohlen, das Update so schnell wie möglich anzuwenden, um Ihre Website vor potenziellen Angriffen zu schützen. Überprüfen Sie außerdem die Benutzerberechtigungen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf das Erstellen und Bearbeiten von Formularen haben. Die Implementierung einer robusten Passwortrichtlinie und die Aktivierung der Zwei-Faktor-Authentifizierung können dazu beitragen, unbefugten Zugriff auf die Concrete CMS-Verwaltung zu verhindern.
Actualice Concrete CMS a la versión 9.4.8 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS almacenada en el bloque "Legacy Form". La actualización eliminará la posibilidad de inyectar código JavaScript malicioso a través de las opciones de preguntas de opción múltiple.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitsschwachstelle, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Wenn Sie eine Version von Concrete CMS vor 9.4.8 verwenden und den 'Legacy Form'-Block aktiviert haben, ist Ihre Website anfällig. Wenden Sie das Update so schnell wie möglich an.
Wenn Sie vermuten, dass Ihre Website kompromittiert wurde, ändern Sie sofort alle Benutzerpasswörter, überprüfen Sie die Website-Protokolle auf verdächtige Aktivitäten und stellen Sie eine Wiederherstellung von einer sauberen Sicherung in Betracht.
Es gibt keine praktikable Möglichkeit, die Schwachstelle zu beheben, ohne auf Version 9.4.8 oder höher zu aktualisieren. Das Deaktivieren des 'Legacy Form'-Blocks ist eine vorübergehende Option, schränkt aber die Funktionalität Ihrer Website ein.
Weitere Informationen zum Update auf Version 9.4.8 finden Sie auf der offiziellen Website von Concrete CMS: [https://www.concretecms.com/](https://www.concretecms.com/)
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.