Plataforma
php
Componente
getsimple-custom-js
Corregido en
0.1.1
La vulnerabilidad CVE-2021-47860 es una falla de Cross-Site Scripting (XSS) presente en el plugin Custom JS de GetSimple CMS, versiones 0.1. Esta vulnerabilidad permite a atacantes no autenticados inyectar código malicioso en los navegadores de los administradores del sistema. El impacto principal es la posible ejecución de código arbitrario en el servidor, comprometiendo la integridad y confidencialidad de la información.
Un atacante podría explotar esta vulnerabilidad creando una página web maliciosa que, al ser visitada por un administrador autenticado, inyecte código JavaScript arbitrario en el navegador del administrador. Este código podría ser utilizado para robar cookies de sesión, redirigir al administrador a sitios web maliciosos, o incluso modificar el contenido del sitio web. La severidad de este ataque radica en la capacidad de comprometer la cuenta de administrador, obteniendo control sobre la gestión del sitio web y sus datos. La ejecución de código en el contexto del navegador del administrador permite el acceso a información sensible y la manipulación de la aplicación.
La vulnerabilidad fue publicada el 21 de enero de 2026. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre la existencia de exploits públicos activos. Sin embargo, la naturaleza de la vulnerabilidad XSS la convierte en un objetivo atractivo para atacantes, especialmente en entornos donde la seguridad de las aplicaciones web no es una prioridad. Se recomienda monitorear activamente los sistemas para detectar posibles intentos de explotación.
Administrators of GetSimple CMS websites using the Custom JS plugin version 0.1 are at significant risk. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a compromise of one website could potentially lead to the compromise of others. Websites relying on the Custom JS plugin for critical functionality are also at higher risk.
• php: Examine the Custom JS plugin files for suspicious JavaScript code, particularly functions that handle user input. Use grep to search for potentially malicious patterns like eval() or document.write.
grep -r 'eval\(' /path/to/customjs/plugin/• generic web: Monitor access logs for unusual requests containing JavaScript payloads. Look for POST requests to plugin endpoints with suspicious data. Use curl to test endpoints for XSS vulnerabilities.
curl -X POST -d "<script>alert('XSS')</script>" http://example.com/plugins/customjs/endpoint.phpdisclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata para CVE-2021-47860 implica deshabilitar el plugin Custom JS hasta que se publique una versión corregida. Como alternativa, se puede implementar un filtro de entrada robusto para sanitizar cualquier dato proporcionado por el usuario antes de ser mostrado en la página. Además, se recomienda implementar una política de seguridad de contenido (CSP) para restringir las fuentes de JavaScript que pueden ser ejecutadas en el navegador. Una vez disponible, actualizar el plugin a la última versión es la solución definitiva. Después de la actualización, verifique la ausencia de código malicioso revisando los archivos del plugin y los registros del servidor.
Actualice el plugin GetSimple CMS Custom JS a una versión corregida. Verifique el sitio web oficial de GetSimple CMS o el repositorio de GitHub para obtener la última versión y las instrucciones de actualización. Como no se especifica una versión corregida, se recomienda contactar al desarrollador para obtener una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-47860 es una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Custom JS de GetSimple CMS versión 0.1, que permite a atacantes inyectar código malicioso.
Si está utilizando GetSimple CMS con el plugin Custom JS versión 0.1, es vulnerable a esta vulnerabilidad XSS.
Deshabilite el plugin Custom JS o actualícelo a una versión corregida una vez que esté disponible. Implemente filtros de entrada y una política de seguridad de contenido (CSP).
No se ha confirmado la explotación activa de CVE-2021-47860, pero la naturaleza de la vulnerabilidad XSS la convierte en un objetivo potencial.
Consulte el sitio web oficial de GetSimple CMS o los canales de comunicación de la comunidad para obtener información sobre la vulnerabilidad y las actualizaciones de seguridad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.