Plateforme
php
Composant
massiveadmin
Corrigé dans
3.3.23
La vulnérabilité CVE-2026-28495 est une faille d'exécution de code à distance (RCE) affectant le plugin massiveAdmin, version 6.0.3, et GetSimpleCMS-CE jusqu'à la version 3.3.22. Cette faille permet à un attaquant authentifié, ou via une attaque par Cross-Site Request Forgery (CSRF) contre un administrateur connecté, de modifier le fichier de configuration gsconfig.php avec du code PHP arbitraire. La vulnérabilité a été publiée le 10 mars 2026 et une correction est disponible.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille pour exécuter du code PHP arbitraire sur le serveur web hébergeant GetSimple CMS. Cela peut conduire à la prise de contrôle complète du serveur, à la compromission des données sensibles stockées dans la base de données, et à l'utilisation du serveur pour lancer d'autres attaques. L'absence de protection CSRF rend l'exploitation particulièrement facile, car un attaquant peut forcer un administrateur légitime à exécuter le code malveillant sans qu'il s'en rende compte. Cette vulnérabilité présente un risque élevé de compromission significative des systèmes affectés, similaire à d'autres failles d'injection de code qui ont conduit à des violations de données importantes.
La vulnérabilité CVE-2026-28495 est publique depuis le 10 mars 2026. Il n'y a pas d'indication qu'elle a été ajoutée au KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme élevée en raison de la simplicité de l'exploitation et de l'absence de protection CSRF. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation active.
Websites using GetSimpleCMS-CE versions 3.3.22 and earlier, particularly those with multiple administrators or shared hosting environments, are at significant risk. Administrators who routinely use the gsconfig editor module are especially vulnerable to CSRF attacks.
• php: Examine gsconfig.php for unexpected or malicious PHP code.
find /var/www/html -name gsconfig.php -print0 | xargs -0 grep -i 'eval(' • generic web: Monitor access logs for requests to the gsconfig editor module originating from unusual IP addresses or user agents.
grep "/admin/gsconfig.php" access.log• generic web: Check response headers for signs of code execution or unexpected behavior after accessing the gsconfig editor module.
curl -I http://your-website.com/admin/gsconfig.phpdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour massiveAdmin vers une version corrigée (supérieure à 6.0.3) et GetSimpleCMS-CE vers une version supérieure à 3.3.22. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès à l'éditeur de configuration gsconfig.php via un pare-feu ou un proxy inverse, en limitant l'accès aux seuls administrateurs de confiance. Il est également recommandé de renforcer la sécurité du serveur web en appliquant les dernières mises à jour de sécurité et en activant un pare-feu web (WAF) pour détecter et bloquer les tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité du fichier gsconfig.php pour vous assurer qu'il n'a pas été modifié.
Mettez à jour GetSimple CMS à une version ultérieure à 3.3.22 ou désactivez/supprimez le plugin massiveAdmin. À titre préventif, évitez d'accéder à l'interface d'administration de GetSimple CMS depuis des réseaux non fiables et assurez-vous de vous déconnecter après l'avoir utilisée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28495 is a critical Remote Code Execution vulnerability in the massiveAdmin plugin bundled with GetSimpleCMS-CE versions up to 3.3.22. It allows an attacker to overwrite the gsconfig.php file via CSRF, potentially leading to full server compromise.
You are affected if you are using GetSimpleCMS-CE version 3.3.22 or earlier, and have the massiveAdmin plugin installed. Upgrade as soon as a patch is available.
Upgrade to a patched version of GetSimpleCMS-CE that includes a fixed version of the massiveAdmin plugin. Until a patch is available, implement CSRF protection on the gsconfig editor module.
There is currently no confirmed active exploitation, but the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the official GetSimple CMS website and security advisories for updates and patch information: https://getsimple.info/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.