Plateforme
php
Composant
getsimple-custom-js
Corrigé dans
0.1.1
La vulnérabilité CVE-2021-47860 est une faille de Cross-Site Scripting (XSS) présente dans le plugin Custom JS pour GetSimple CMS, versions 0.1. Cette faille permet à des attaquants non authentifiés d'injecter du code JavaScript malveillant dans le navigateur des administrateurs. L'exploitation réussie peut entraîner l'exécution de code à distance sur le serveur hébergeant le CMS, compromettant potentiellement la sécurité de l'application et des données sensibles.
Un attaquant peut exploiter cette vulnérabilité XSS pour injecter du code JavaScript malveillant dans les pages du CMS, qui seront ensuite exécutées dans le navigateur des administrateurs. Cela peut permettre à l'attaquant de voler des informations d'identification, de modifier le contenu du site web, de rediriger les utilisateurs vers des sites malveillants ou même de prendre le contrôle du serveur. Le risque est particulièrement élevé pour les administrateurs qui accèdent régulièrement au CMS via des navigateurs vulnérables. L'impact est amplifié si le CMS est utilisé pour stocker des informations sensibles ou pour traiter des transactions financières, car l'attaquant pourrait compromettre ces données.
Cette vulnérabilité a été publiée le 21 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'apparaître, augmentant le risque d'exploitation.
Administrators of GetSimple CMS websites using the Custom JS plugin version 0.1 are at significant risk. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a compromise of one website could potentially lead to the compromise of others. Websites relying on the Custom JS plugin for critical functionality are also at higher risk.
• php: Examine the Custom JS plugin files for suspicious JavaScript code, particularly functions that handle user input. Use grep to search for potentially malicious patterns like eval() or document.write.
grep -r 'eval\(' /path/to/customjs/plugin/• generic web: Monitor access logs for unusual requests containing JavaScript payloads. Look for POST requests to plugin endpoints with suspicious data. Use curl to test endpoints for XSS vulnerabilities.
curl -X POST -d "<script>alert('XSS')</script>" http://example.com/plugins/customjs/endpoint.phpdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à désactiver ou supprimer le plugin Custom JS jusqu'à la publication d'une version corrigée. Si la désactivation n'est pas possible, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation stricte de toutes les entrées utilisateur et l'utilisation d'une politique de sécurité de contenu (CSP) pour limiter l'exécution de scripts provenant de sources non approuvées. Il est également conseillé de surveiller les journaux du serveur pour détecter toute activité suspecte. Après la mise à jour du plugin, vérifiez que la vulnérabilité est bien corrigée en essayant d'injecter un script de test dans une page du CMS.
Mettez à jour le plugin GetSimple CMS Custom JS vers une version corrigée. Vérifiez le site web officiel de GetSimple CMS ou le dépôt GitHub pour obtenir la dernière version et les instructions de mise à jour. Étant donné qu'aucune version corrigée n'est spécifiée, il est recommandé de contacter le développeur pour obtenir une mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-47860 est une vulnérabilité de Cross-Site Scripting (XSS) affectant le plugin Custom JS pour GetSimple CMS, version 0.1. Elle permet à des attaquants d'injecter du code malveillant.
Vous êtes affecté si vous utilisez GetSimple CMS avec le plugin Custom JS version 0.1. Mettez à jour le plugin ou appliquez des mesures de mitigation.
La solution est de mettre à jour le plugin Custom JS vers une version corrigée. En attendant, désactivez ou supprimez le plugin.
À ce jour, il n'y a pas d'indications d'exploitation active, mais le risque augmente avec la publication de preuves de concept.
Consultez le site web officiel de GetSimple CMS ou leurs canaux de communication pour obtenir les dernières informations et les avis de sécurité concernant CVE-2021-47860.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.