Schlix CMS 2.2.6-6 contains a remote code execution vulnerability that allows authenticated attackers to execute arbitrary PHP code by uploading malicious extension packages through the block manager. Attackers can upload a crafted ZIP file containing PHP code in the packageinfo.inc file and trigger execution by accessing the About tab of the installed extension.
Schlix CMS 2.2.6-6 allows authenticated attackers to execute arbitrary PHP code by uploading malicious extension packages through the block manager. The vulnerability is triggered when accessing the About tab of an installed extension containing crafted PHP code.
تحتوي نسخة Schlix CMS 2.2.6-6 على ثغرة تنفيذ كود بعيد في وحدة إدارة الكتل تسمح للمستخدمين المصرحين بتحميل ملفات ZIP ضارة. يمكن للمهاجمين إدراج كود PHP في ملف packageinfo.inc وتفعيله بالوصول إلى علامة التبويب About للامتداد المثبت.
Schlix CMS 2.2.6-6 يسمح للمهاجمين المصرحين بتنفيذ كود PHP عشوائي من خلال تحميل حزم امتدادات ضارة عبر مدير الكتل. يتم تفعيل الثغرة عند الوصول إلى علامة التبويب About للامتداد المثبت الذي يحتوي على كود PHP مصنوع.
Upgrade Schlix CMS to a patched version beyond 2.2.6-6 immediately. Implement strict file upload validation and restrict extension package uploads to trusted administrators only. Disable or remove the block manager if not required. Monitor uploaded files for suspicious PHP code patterns.
قم بترقية Schlix CMS إلى نسخة مصححة أحدث من 2.2.6-6 فوراً. طبق التحقق الصارم من تحميل الملفات وقيد تحميل حزم الامتدادات للمسؤولين الموثوقين فقط. عطل أو أزل مدير الكتل إذا لم يكن مطلوباً. راقب الملفات المحملة بحثاً عن أنماط كود PHP المريبة.