Plataforma
php
Componente
code-projects-simple-content-management-system
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Simple Content Management System, afetando as versões 1.0.0 até 1.0. Esta falha permite que um atacante execute scripts maliciosos no navegador de outros usuários, comprometendo a integridade e confidencialidade dos dados. A exploração ocorre remotamente através da manipulação do campo 'News Title' no arquivo /web/admin/welcome.php. A correção ainda não foi disponibilizada.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete código JavaScript arbitrário no contexto do Simple Content Management System. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site e, potencialmente, acesso não autorizado a dados sensíveis armazenados no sistema. Um atacante poderia, por exemplo, criar um formulário de login falso para coletar credenciais de usuários legítimos. A ausência de uma versão corrigida aumenta o risco de exploração, especialmente considerando que a prova de conceito já foi divulgada publicamente.
A vulnerabilidade foi divulgada publicamente em 2026-04-13, e a prova de conceito já está disponível, indicando um risco elevado de exploração. A ausência de uma correção oficial agrava a situação. Não há informações sobre a inclusão desta vulnerabilidade no KEV da CISA ou sobre campanhas de exploração ativas no momento da publicação.
Administrators of Simple Content Management System instances running versions 1.0.0 through 1.0 are at direct risk. Shared hosting environments utilizing this CMS are particularly vulnerable, as a compromised account could potentially impact other websites hosted on the same server. Those who have not implemented robust input validation practices are also at increased risk.
• php / server:
grep -r "News Title" /var/www/html/web/admin/welcome.php• generic web:
curl -I http://your-website.com/web/admin/welcome.php?News+Title=<script>alert(1)</script>disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não está disponível, a mitigação imediata deve focar em medidas preventivas. Implemente uma validação e sanitização rigorosas de todas as entradas de usuário, especialmente o campo 'News Title'. Considere a utilização de um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do servidor em busca de atividades suspeitas, como requisições com parâmetros incomuns ou tentativas de acesso a arquivos sensíveis. Desative temporariamente o arquivo /web/admin/welcome.php se possível, até que uma correção seja lançada.
Atualize o Simple Content Management System para uma versão corrigida. Verifique o site do fornecedor ou os fóruns da comunidade para obter informações sobre as atualizações disponíveis. Como medida temporária, você pode desabilitar a entrada de 'Título da Notícia' ou aplicar uma validação de entrada estrita para evitar a injeção de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6184 is a cross-site scripting (XSS) vulnerability affecting Simple Content Management System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the News Title parameter.
You are affected if you are running Simple Content Management System version 1.0.0–1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of Simple Content Management System as soon as it becomes available. Until then, implement input validation and consider using a WAF.
While active campaigns are not confirmed, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the Simple Content Management System website or security mailing list for the official advisory regarding CVE-2026-6184.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.