Kritische RCE-Lücke in GetSimple CMS - CVE-2026-28495
⚠️ CVE-Referenzen:
CVE-2026-28495
Zusammenfassung
Eine schwerwiegende Sicherheitslücke in der Verwaltungskonsole des GetSimple CMS ermöglicht es Angreifern, mit Administratorrechten beliebigen PHP-Code auszuführen. Die Lücke betrifft die Version 3.3.22 des CMS-Systems und das Plugin "massiveAdmin" in Version 6.0.3. Ein Patch ist dringend erforderlich, um Systeme vor Kompromittierung zu schützen.
GetSimple CMS is a content management system. The massiveAdmin plugin (v6.0.3) bundled with GetSimpleCMS-CE v3.3.22 allows an authenticated administrator to overwrite the gsconfig.php configuration file with arbitrary PHP code via the gsconfig editor module. The form lacks CSRF protection, enabling a remote unauthenticated attacker to exploit this via Cross-Site Request Forgery against a logged-in admin, achieving Remote Code Execution (RCE) on the web server.
Quelle: app.opencve.io