CVE-2026-27146 in GetSimple
要約
〜によって VulDB • 2026年05月27日
GetSimple CMSはコンテンツ管理システムです。GetSimple CMSの全バージョンにおいて、管理者用ファイルアップロードエンドポイントにCSRF保護が実装されていません。その結果、攻撃者は悪意のあるWebページを作成し、認証済み被害者のブラウザからファイルアップロードリクエストを静かにトリガーすることができます。このリクエストは、CSRFトークンやオリジン検証を要求せずに受け入れられます。これにより、攻撃者は被害者の知識や同意なしにアプリケーションに任意のファイルをアップロードできます。この脆弱性を悪用するには、被害者がGetSimple CMSに対して認証済み(例:管理者ユーザー)であり、攻撃者が制御するWebページにアクセスする必要があります。この問題には、公開時点では修正がありません。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.