GetSimple CMS is a content management system. The massiveAdmin plugin (v6.0.3) bundled with GetSimpleCMS-CE v3.3.22 allows an authenticated administrator to overwrite the gsconfig.php configuration file with arbitrary PHP code via the gsconfig editor module. The form lacks CSRF protection, enabling a remote unauthenticated attacker to exploit this via Cross-Site Request Forgery against a logged-in admin, achieving Remote Code Execution (RCE) on the web server.
GetSimple CMS massiveAdmin plugin v6.0.3 contains a CSRF vulnerability in the gsconfig editor that allows unauthenticated attackers to overwrite the gsconfig.php configuration file with arbitrary PHP code through a logged-in administrator's browser, achieving Remote Code Execution. This critical flaw affects GetSimpleCMS-CE v3.3.22 and requires immediate patching to prevent server compromise.
يحتوي المكون الإضافي massiveAdmin الإصدار 6.0.3 في GetSimple CMS على ثغرة Cross-Site Request Forgery في وحدة محرر gsconfig تسمح للمهاجمين غير المصرح لهم باستبدال ملف التكوين gsconfig.php برمز PHP تعسفي. يمكن استغلال هذه الثغرة من خلال متصفح مسؤول مسجل الدخول لتحقيق تنفيذ أوامر بعيدة على خادم الويب.
GetSimple CMS massiveAdmin plugin v6.0.3 contains a CSRF vulnerability in the gsconfig editor that allows unauthenticated attackers to overwrite the gsconfig.php configuration file with arbitrary PHP code through a logged-in administrator's browser, achieving Remote Code Execution. This critical flaw affects GetSimpleCMS-CE v3.3.22 and requires immediate patching to prevent server compromise.
Immediately upgrade GetSimple CMS to the latest patched version and massiveAdmin plugin to v6.0.4 or later. Implement CSRF tokens on all administrative forms, enforce strong authentication mechanisms, restrict admin panel access via IP whitelisting, and conduct security audits of all CMS installations. Monitor web server logs for suspicious gsconfig.php modification attempts.
قم بترقية GetSimple CMS والمكون الإضافي massiveAdmin إلى أحدث إصدار معدل فوراً. طبق رموز CSRF على جميع النماذج الإدارية وفرض آليات مصادقة قوية وقيد الوصول إلى لوحة التحكم عبر قائمة بيضاء للعناوين. راقب سجلات خادم الويب للكشف عن محاولات تعديل gsconfig.php المريبة.