Se encuentran disponibles las actualizaciones a las versiones 9.1.0 y 8.5.8 de Concrete CMS, que corrigen varias vulnerabilidades críticas, que permitrian a un atacante provocar la ejecución remota de código (RCE) a través de la descarga de archivos zip, asi como realizar eliminación arbitraria de archivos del sistema.
Las versiones afectadas de Concrete son:
- Concrete CMS, versiones 9.0.0 a 9.0.2.
- Concrete CMS, versiones anteriores a 8.5.8.
Información adicional:
- BOL-CERT-PY-2022-43 Vulnerabilidades críticas en Concrete CMS
- https://documentation.concretecms.org/developers/introduction/version-history/910-release-notes
- https://documentation.concretecms.org/developers/introduction/version-history/858-release-notes
- https://nvd.nist.gov/vuln/detail/CVE-2022-30117
- https://nvd.nist.gov/vuln/detail/CVE-2022-21829
- https://www.concretecms.org/about/project-news/core-releases/concrete-cms-910-now-available
- https://www.concretecms.org/about/project-news/core-releases/concrete-cms-858-now-available