Versiunile recente ale sistemului de management al continutului (CMS) Concrete5 au eliminat mai multe vulnerabilitati, inclusiv cateva bug-uri de securitate raportate de catre cercetatorul italian Egidio Romano, de la Minded Security.
Romano a publicat joi vulnerabilitatile pe care acesta le-a raportat inca de pe 5 mai dezvoltatorilor Concrete5, prin intermediul platformei de securitate HackerOne.
Una dintre probleme este o vulnerabilitate SQL Injection, care pot fi exploatata de un atacator cu privilegii de editare a unei pagini, pentru a injecta si executa comenzi SQL arbitrare. Potrivit expertului, vulnerabilitatea afecteaza Concrete5 5.7.3.1, 5.7.4, și probabil alte versiuni. Utilizatorii se pot proteja impotriva potentialelor atacuri cu actualizarea la versiunea 5.7.4.1 sau una mai noua.
De asemenea, Romano a mai identificat o vulnerabilitate de tip cross-site request forgery (CSRF) si alte sase vulnerabilitati de tip cross-site scripting (XSS).
Concrete5 este un CMS scris in PHP si care a fost lansat in 2003 sub denumirea Concrete CMS. Acesta a fost rebranduit ca Concrete5 si a lansat complet open source sub licenta MIT, in 2008. Potrivit site-ului oficial, Concrete5 sta la baza a peste 580.000 de site-uri si are o comunitate care cuprinde peste 230.000 de membri.