CVE-2026-27146 in GetSimple
Tóm tắt
Bởi VulDB • 27/05/2026
GetSimple CMS là một hệ thống quản lý nội dung. Tất cả các phiên bản của GetSimple CMS không triển khai bảo vệ CSRF trên điểm cuối tải lên tệp quản trị. Kết quả là, kẻ tấn công có thể tạo một trang web độc hại kích hoạt ngầm yêu cầu tải lên tệp từ trình duyệt của nạn nhân đã xác thực. Yêu cầu này được chấp nhận mà không cần xác thực mã thông báo CSRF hoặc kiểm tra nguồn gốc. Điều này cho phép kẻ tấn công tải lên các tệp tùy ý vào ứng dụng mà không có sự biết đến hoặc đồng ý của nạn nhân. Để khai thác lỗ hổng này, nạn nhân phải được xác thực vào GetSimple CMS (ví dụ: người dùng quản trị) và truy cập một trang web do kẻ tấn công kiểm soát. Vấn đề này chưa có bản sửa lỗi tại thời điểm công bố.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.