CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28495

Critical
Published: Translated: NVD NIST

Summary

GetSimple CMS to system zarządzania treścią. Wtyczka massiveAdmin (v6.0.3) dołączona do GetSimpleCMS-CE v3.3.22 pozwala uwierzytelnionemu administratorowi na nadpisanie pliku konfiguracyjnego gsconfig.php dowolnym kodem PHP za pomocą modułu edytora gsconfig. Formularz nie ma ochrony CSRF, co umożliwia zdalnemu, nieautoryzowanemu atakującemu wykorzystanie tego poprzez Cross-Site Request Forgery przeciwko zalogowanemu administratorowi, co prowadzi do zdalnego wykonania kodu (RCE) na serwerze WWW.

Risk Assessment

Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Atakujący mogą uzyskać pełną kontrolę nad serwerem, co stwarza zagrożenie dla całej infrastruktury IT.

Recommendation

Zaleca się aktualizację wtyczki massiveAdmin do najnowszej wersji oraz wdrożenie mechanizmów ochrony przed CSRF. Należy również przeprowadzić audyt bezpieczeństwa systemu, aby zminimalizować ryzyko podobnych podatności.

Original NVD description (English source)

GetSimple CMS is a content management system. The massiveAdmin plugin (v6.0.3) bundled with GetSimpleCMS-CE v3.3.22 allows an authenticated administrator to overwrite the gsconfig.php configuration file with arbitrary PHP code via the gsconfig editor module. The form lacks CSRF protection, enabling a remote unauthenticated attacker to exploit this via Cross-Site Request Forgery against a logged-in admin, achieving Remote Code Execution (RCE) on the web server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS