Katalog CVE

CVE-2026-26351

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

GetSimpleCMS Community Edition w wersjach przed 3.3.22 zawiera podatność na trwałe XSS w funkcjonalności Theme to Components w pliku components.php. Wprowadzona przez administratora wartość w polu "slug" komponentu jest przechowywana bez odpowiedniego kodowania wyjścia, co pozwala na wykonanie dowolnego kodu JavaScript w interfejsie administracyjnym.

Ocena ryzyka

Atakujący administrator może wstrzyknąć złośliwy skrypt, który wykona się przy każdym wyświetleniu strony Components przez dowolnego uwierzytelnionego użytkownika. Może to prowadzić do przejęcia sesji, nieautoryzowanych działań administracyjnych i trwałego naruszenia bezpieczeństwa panelu CMS.

Rekomendacja

Należy niezwłocznie zaktualizować GetSimpleCMS Community Edition do wersji 3.3.22 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do interfejsu administracyjnego tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

GetSimpleCMS Community Edition (CE) versions prior to 3.3.22 (3.3.16 tested) contains a stored cross-site scripting (XSS) vulnerability in the Theme to Components functionality within components.php. User-supplied input provided to the "slug" field of a component is stored without proper output encoding. While other fields are sanitized using safe_slash_html(), the slug parameter is written to XML and later rendered in the administrative interface without sanitation, resulting in persistent execution of arbitrary JavaScript. An authenticated administrator can inject malicious script content that executes whenever the affected Components page is viewed by any authenticated user, enabling session hijacking, unauthorized administrative actions, and persistent compromise of the CMS administrative interface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS