CVE-2021-22969

Concrete CMS (antes concrete5) versiones anteriores a 8.5.7, presentan una omisión de mitigación de tipo SSRF usando un ataque DNS Rebind dando a un atacante la capacidad de conseguir claves IAM en la nube IAAS (ex AWS). Para corregir esto Concrete CMS ya no permite descargas desde la red local y especifica la IP comprobada cuando descarga en lugar de confiar en DNS.Discoverer: Adrian Tiron de FORTBRIDGE ( https://www.fortbridge.co.uk/ ).El equipo de Concrete CMS dio a esto una puntuación CVSS 3.1 de 3.5 AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:N/A:N . Por favor, tenga en cuenta que los errores de configuración de los proveedores de Cloud IAAS no son vulnerabilidades concretas de CMS. Una mitigación para esta vulnerabilidad es asegurarse de que las configuraciones de IMDS están de acuerdo con las mejores prácticas del proveedor de la nube. Esta corrección también está en Concrete versión 9.0.0