Plateforme
php
Composant
pegasus-cms
Corrigé dans
1.0.1
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans Pegasus CMS, affectant les versions 1.0.0 à 1.0. Cette faille permet à des attaquants non authentifiés d'exécuter des commandes arbitraires sur le serveur. L'exploitation se fait en envoyant des requêtes POST malveillantes au point de terminaison submit.php, exploitant une fonction eval non sécurisée dans le plugin extra_fields.php. Une correction est disponible.
Cette vulnérabilité RCE est extrêmement critique car elle permet à un attaquant de prendre le contrôle total du serveur hébergeant Pegasus CMS. L'attaquant peut exécuter des commandes arbitraires, accéder à des données sensibles, modifier des fichiers, installer des logiciels malveillants et potentiellement se déplacer latéralement vers d'autres systèmes sur le réseau. L'exploitation réussie peut entraîner une compromission complète du système et une perte de confidentialité, d'intégrité et de disponibilité des données. La simplicité de l'exploitation, ne nécessitant aucune authentification, augmente considérablement le risque. Une attaque réussie pourrait être similaire à d'autres vulnérabilités RCE exploitant des fonctions eval non sécurisées.
Cette vulnérabilité a été rendue publique le 2026-04-05. Bien qu'il n'y ait pas d'informations disponibles concernant son ajout au KEV de CISA, la gravité élevée de la vulnérabilité et la facilité d'exploitation suggèrent un risque potentiel d'exploitation active. Des preuves de concept (PoC) publiques sont susceptibles d'être disponibles ou de l'être prochainement, ce qui pourrait augmenter le risque d'exploitation.
Organizations running Pegasus CMS version 1.0.0–1.0, especially those with publicly accessible instances, are at significant risk. Shared hosting environments are particularly vulnerable, as a compromised CMS installation can potentially impact other websites hosted on the same server. Systems with weak firewall configurations or lacking intrusion detection systems are also at increased risk.
• php: Examine web server access logs for POST requests to submit.php with unusual or suspicious data in the action parameter. Look for patterns indicative of PHP code injection.
grep 'action=[a-zA-Z0-9;+\/\*\(\)"' /var/log/apache2/access.log• php: Search the extra_fields.php file for instances of the eval() function and assess if input validation is performed before its usage.
grep 'eval(' extra_fields.php• generic web: Monitor network traffic for POST requests to submit.php originating from unusual IP addresses or exhibiting suspicious user agent strings.
• generic web: Check for newly created files or modified files within the Pegasus CMS installation directory, particularly those with PHP extensions, which could indicate successful code execution.
disclosure
Statut de l'Exploit
EPSS
0.39% (percentile 60%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Pegasus CMS vers la dernière version corrigée, dès que possible. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est fortement recommandé de désactiver le plugin extra_fields.php si cela n'est pas essentiel au fonctionnement du site. En outre, la configuration d'un pare-feu d'application web (WAF) pour bloquer les requêtes POST malveillantes vers submit.php peut aider à atténuer le risque. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Il n'existe pas de signature Sigma ou YARA spécifique connue pour cette vulnérabilité, mais une analyse comportementale des processus PHP peut aider à identifier les tentatives d'exploitation.
Mettez à jour vers une version sécurisée de Pegasus CMS qui corrige la vulnérabilité d'exécution de code à distance dans le fichier extra_fields.php. Vérifiez les sources officielles de Pegasus CMS pour obtenir des informations sur les mises à jour disponibles et les instructions d'installation. En guise de mesure préventive, désactivez le plugin extra_fields.php jusqu'à ce qu’une mise à jour sécurisée puisse être appliquée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-25687 is a critical Remote Code Execution vulnerability in Pegasus CMS versions 1.0.0–1.0, allowing attackers to execute arbitrary commands without authentication.
If you are running Pegasus CMS version 1.0.0–1.0 and have not applied a patch, you are vulnerable to this RCE vulnerability.
Upgrade to a patched version of Pegasus CMS as soon as it becomes available. Until then, implement input validation and disable the eval function in extra_fields.php.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a high-priority target for attackers.
Refer to the Pegasus CMS website or security mailing lists for official advisories and updates regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.