CVE-2025-3153

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-3153
Concrete CMS version 9 below 9.4.0RC2 and versions below 8.5.20 are vulnerable to CSRF and XSS in the Concrete CMS Address attribute because addresses are not properly sanitized in the output when a country is not specified.  Attackers are limited to individuals whom a site administrator has granted the ability to fill in an address attribute. It is possible for the attacker to glean limited information from the site but amount and type is restricted by mitigating controls and the level of access of the attacker. Limited data modification is possible. The dashboard page itself could be rendered unavailable. The fix only sanitizes new data uploaded post update to Concrete CMS 9.4.0RC2. Existing database entries added before the update will still be “live” if there were successful exploits added under previous versions; a database search is recommended. The Concrete CMS security team gave this vulnerability CVSS v.4.0 score of 5.1 with vector CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L Thanks Myq Larson for reporting.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 3.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact LOW

Scope CHANGED

References
Link Resource
https://documentation.concretecms.org/9-x/developers/introduction/version-history/940-release-notes Release Notes
https://github.com/concretecms/concretecms/pull/12511 Issue Tracking Patch
https://github.com/concretecms/concretecms/pull/12512 Issue Tracking Patch
https://github.com/concretecms/concretecms/releases/tag/8.5.20 Release Notes
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:*
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:*
cpe:2.3:a:concretecms:concrete_cms:9.4.0:rc1:*:*:*:*:*:*
History

04 Sep 2025, 15:54

Type Values Removed Values Added
First Time Concretecms
Concretecms concrete Cms
References () https://documentation.concretecms.org/9-x/developers/introduction/version-history/940-release-notes - () https://documentation.concretecms.org/9-x/developers/introduction/version-history/940-release-notes - Release Notes
References () https://github.com/concretecms/concretecms/pull/12511 - () https://github.com/concretecms/concretecms/pull/12511 - Issue Tracking, Patch
References () https://github.com/concretecms/concretecms/pull/12512 - () https://github.com/concretecms/concretecms/pull/12512 - Issue Tracking, Patch
References () https://github.com/concretecms/concretecms/releases/tag/8.5.20 - () https://github.com/concretecms/concretecms/releases/tag/8.5.20 - Release Notes
Summary (es) Las versiones 9 y anteriores a la 9.4.0RC2 de Concrete CMS y las versiones anteriores a la 8.5.20 son vulnerables a CSRF y XSS en el atributo de dirección de Concrete CMS, ya que las direcciones no se depuran correctamente en la salida cuando no se especifica un país. Los atacantes se limitan a las personas a las que el administrador del sitio les ha otorgado la capacidad de completar un atributo de dirección. El atacante puede obtener información limitada del sitio, pero la cantidad y el tipo están restringidos por los controles de mitigación y el nivel de acceso del atacante. La modificación de datos es limitada. La página del panel de control podría quedar indisponible. Esta corrección solo desinfecta los nuevos datos subidos después de la actualización a Concrete CMS 9.4.0RC2. Las entradas de la base de datos existentes agregadas antes de la actualización seguirán activas si se agregaron exploits exitosos en versiones anteriores; se recomienda una búsqueda en la base de datos. El equipo de seguridad de Concrete CMS le otorgó a esta vulnerabilidad un puntaje CVSS v.4.0 de 5,1 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L Gracias Myq Larson por informar. (es) Las versiones 9 y anteriores a la 9.4.0RC2 de Concrete CMS y las versiones anteriores a la 8.5.20 son vulnerables a CSRF y XSS en el atributo de dirección de Concrete CMS, ya que las direcciones no se depuran correctamente en la salida cuando no se especifica un país. Los atacantes se limitan a las personas a las que el administrador del sitio les ha otorgado la capacidad de completar un atributo de dirección. El atacante puede obtener información limitada del sitio, pero la cantidad y el tipo están restringidos por los controles de mitigación y el nivel de acceso del atacante. La modificación de datos es limitada. La página del panel de control podría quedar indisponible. Esta corrección solo depura los nuevos datos subidos después de la actualización a Concrete CMS 9.4.0RC2. Las entradas de la base de datos existentes agregadas antes de la actualización seguirán activas si se agregaron exploits exitosos en versiones anteriores; se recomienda una búsqueda en la base de datos. El equipo de seguridad de Concrete CMS le otorgó a esta vulnerabilidad un puntaje CVSS v.4.0 de 5,1 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L Gracias Myq Larson por informar.
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.5
CPE cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:*
cpe:2.3:a:concretecms:concrete_cms:9.4.0:rc1:*:*:*:*:*:*

07 Apr 2025, 14:18

Type Values Removed Values Added
Summary
  • (es) Las versiones 9 y anteriores a la 9.4.0RC2 de Concrete CMS y las versiones anteriores a la 8.5.20 son vulnerables a CSRF y XSS en el atributo de dirección de Concrete CMS, ya que las direcciones no se depuran correctamente en la salida cuando no se especifica un país. Los atacantes se limitan a las personas a las que el administrador del sitio les ha otorgado la capacidad de completar un atributo de dirección. El atacante puede obtener información limitada del sitio, pero la cantidad y el tipo están restringidos por los controles de mitigación y el nivel de acceso del atacante. La modificación de datos es limitada. La página del panel de control podría quedar indisponible. Esta corrección solo desinfecta los nuevos datos subidos después de la actualización a Concrete CMS 9.4.0RC2. Las entradas de la base de datos existentes agregadas antes de la actualización seguirán activas si se agregaron exploits exitosos en versiones anteriores; se recomienda una búsqueda en la base de datos. El equipo de seguridad de Concrete CMS le otorgó a esta vulnerabilidad un puntaje CVSS v.4.0 de 5,1 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L Gracias Myq Larson por informar.

03 Apr 2025, 02:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-04-03 02:15

Updated : 2025-09-04 15:54

NVD link : CVE-2025-3153

Mitre link : CVE-2025-3153

CVE.ORG link : CVE-2025-3153

JSON object : View

Products Affected

concretecms

  • concrete_cms
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CWE-352

Cross-Site Request Forgery (CSRF)