Plataforma
php
Componente
concrete5/concrete5
Corregido en
9.4.8
El CVE-2026-2994 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) que afecta a las versiones de Concrete CMS anteriores a la 9.4.8. Esta vulnerabilidad permite a un administrador malicioso, utilizando la configuración de la lista blanca anti-spam, eludir los controles de seguridad y realizar cambios no autorizados. La actualización a la versión 9.4.8 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad para realizar acciones en nombre de un administrador legítimo sin su conocimiento. Esto podría incluir la modificación de la configuración del sistema, la creación de usuarios maliciosos o la inyección de código malicioso. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad y la confidencialidad de los datos almacenados en el sistema Concrete CMS. La vulnerabilidad reside en la forma en que se manejan los parámetros de identificación de grupo (group_id) en la configuración de la lista blanca anti-spam, permitiendo cambios sin la validación adecuada del token CSRF.
Este CVE fue publicado el 4 de marzo de 2026. No se ha reportado explotación activa en entornos reales hasta la fecha. La vulnerabilidad fue reportada por z3rco. La probabilidad de explotación se considera baja debido a la baja severidad del CVSS y la falta de un PoC público ampliamente disponible.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
La mitigación principal para el CVE-2026-2994 es actualizar Concrete CMS a la versión 9.4.8 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente la configuración de la lista blanca anti-spam y restringir el acceso a esta funcionalidad solo a usuarios autorizados. Implementar medidas de seguridad adicionales, como la validación estricta de las entradas del usuario y la implementación de políticas de seguridad de contraseñas robustas, puede ayudar a reducir el riesgo. Después de la actualización, verificar que la configuración de la lista blanca anti-spam se comporta como se espera y que los tokens CSRF se validan correctamente.
Actualice Concrete CMS a la versión 9.4.8 o superior. Esta versión contiene la corrección para la vulnerabilidad CSRF en la configuración del grupo de lista blanca Anti-Spam.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2994 is a Cross-Site Request Forgery (CSRF) vulnerability in concrete5 CMS versions up to 9.4.7. It allows an attacker to potentially bypass security checks and make unauthorized changes through crafted requests.
You are affected if you are running concrete5 CMS versions 9.4.7 or earlier. Upgrade to version 9.4.8 or later to mitigate the vulnerability.
The recommended fix is to upgrade concrete5 CMS to version 9.4.8 or later. Temporary workarounds include input validation and WAF rules.
As of now, there are no reports of active exploitation campaigns targeting CVE-2026-2994. However, the vulnerability's nature suggests it could be exploited.
Refer to the official concrete5 security advisory for CVE-2026-2994, which can be found on the concrete5 website's security page: [https://www.concretecms.com/security/](https://www.concretecms.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.