Plateforme
php
Composant
concrete5/concrete5
Corrigé dans
9.4.8
9.4.8
Cette vulnérabilité dans openclaw permet à des opérateurs non-administrateurs de s'attribuer le rôle d'administrateur, contournant ainsi les contrôles d'accès. Cette élévation de privilèges peut compromettre la sécurité du système. Elle affecte les versions d'openclaw inférieures ou égales à 2026.3.24. Une correction est disponible dans la version 2026.3.25.
La CVE-2026-3241 affecte Concrete CMS dans les versions antérieures à 9.4.8, présentant une vulnérabilité de Cross-Site Scripting (XSS) au sein du bloc 'Formulaire Hérité'. Un utilisateur authentifié disposant des autorisations nécessaires pour créer ou modifier des formulaires (par exemple, un administrateur malveillant) peut injecter une charge utile JavaScript persistante dans les options d'une question à choix multiples (Liste de vérification, boutons radio ou liste déroulante). Cette charge utile est ensuite exécutée dans le navigateur de tout utilisateur qui consulte la page contenant le formulaire. L'impact potentiel comprend le vol de cookies, le détournement vers des sites web malveillants, la modification du contenu de la page ou l'exécution de code arbitraire dans le contexte de l'utilisateur affecté. La gravité de la vulnérabilité est notée CVSS 4.8.
La vulnérabilité est exploitée par la manipulation des options dans une question de type 'Liste de vérification', 'Boutons radio' ou 'Liste déroulante' au sein d'un 'Formulaire Hérité'. Un attaquant disposant de privilèges d'édition de formulaires peut injecter du code JavaScript malveillant dans ces options. Lorsque l'utilisateur visite la page contenant le formulaire, son navigateur exécute le code JavaScript injecté, permettant à l'attaquant de réaliser des actions malveillantes. La nature persistante de la charge utile signifie que la vulnérabilité reste active jusqu'à ce que la correction soit appliquée.
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer la CVE-2026-3241 consiste à mettre à jour Concrete CMS vers la version 9.4.8 ou supérieure. Cette mise à jour corrige la vulnérabilité XSS en validant et en échappant correctement les entrées utilisateur dans le bloc 'Formulaire Hérité'. Il est fortement recommandé d'appliquer la mise à jour dès que possible pour protéger votre site web contre les attaques potentielles. De plus, examinez les autorisations des utilisateurs pour vous assurer que seuls les utilisateurs autorisés ont accès à la création et à la modification de formulaires. La mise en œuvre d'une politique de mots de passe robuste et l'activation de l'authentification à deux facteurs peuvent aider à prévenir les accès non autorisés à l'administration de Concrete CMS.
Actualice Concrete CMS a la versión 9.4.8 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS almacenada en el bloque "Legacy Form". La actualización eliminará la posibilidad de inyectar código JavaScript malicioso a través de las opciones de preguntas de opción múltiple.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Si vous utilisez une version de Concrete CMS antérieure à 9.4.8 et que vous avez activé le bloc 'Formulaire Hérité', votre site est vulnérable. Appliquez la mise à jour dès que possible.
Si vous suspectez que votre site a été compromis, modifiez immédiatement tous les mots de passe des utilisateurs, examinez les journaux du site à la recherche d'activités suspectes et envisagez de restaurer à partir d'une sauvegarde propre.
Il n'existe aucun contournement viable sans mettre à jour vers la version 9.4.8 ou supérieure. Désactiver le bloc 'Formulaire Hérité' est une option temporaire, mais cela limitera la fonctionnalité de votre site.
Vous pouvez trouver plus d'informations sur la mise à jour vers la version 9.4.8 sur le site web officiel de Concrete CMS : [https://www.concretecms.com/](https://www.concretecms.com/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.