CVE-2026-8353

EPSS 0.15%
Veröffentlicht 22.05.2026 14:18:06
Zuletzt bearbeitet 22.05.2026 14:18:06
Quelle ff5b8ace-8b95-4078-9743-eac1ca
CVE-Watchlists
Login
Unerledigt
Login

Concrete CMS version 9.0 to 9.5.0 is vulnerable to Stored XSS via page name in atomik theme

Concrete CMS version 9.0 to 9.5.0 is vulnerable to Stored XSS via page name in the Atomik theme. A rogue editor can inject arbitrary JavaScript that executes in the context of any authenticated user visiting the affected account pages. This can lead to session hijacking, credential theft, malicious actions performed on behalf of users, and potential privilege escalation. The Concrete CMS security team gave this vulnerability a CVSS v.4.0 score of 2.1 with vector CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N. Thanks Yonatan Drori (Tenzai) for reporting.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 0 Referenzen 4

CNA 1 VulnDex Vulnerability Enrichment 1

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerConcrete CMS

≫

Produkt Concrete CMS

Default Statusunaffected

Version <= 9.5.0

Version 9.0

Status affected

VulnDex Vulnerability Enrichment

Diese Information steht angemeldeten Benutzern zur Verfügung.

Zu dieser CVE wurde keine Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.15%	0.045

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
ff5b8ace-8b95-4078-9743-eac1ca5451de	2.1	0	0	CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Es wurden noch keine Informationen zu CWE veröffentlicht.

https://documentation.concretecms.org/9-x/developers/introduction/version-history/951-release-notes

release-notes

https://nvd.nist.gov/vuln/detail/CVE-2026-8353

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-8353

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-8353

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-8353