Le GetSimple CMS, un système de gestion de contenu (CMS) populaire pour les sites web simples, fait face à une faille critique de type exécution de code à distance (RCE) affectant les versions comprises entre la 3.3.16 et la 3.3.21.
Description de la vulnérabilité
Cette faille permet à un utilisateur authentifié, ayant accès au composant d'édition (Edit component), d’injecter du code PHP arbitraire dans un fichier du composant via une chaîne de requête spécialement conçue. L’attaquant peut alors exécuter ce code sur le serveur, ouvrant la voie à un contrôle complet du système.
Techniquement, ce problème relève de la catégorie CWE-77 : Injection de commandes, qui se produit lorsqu’une application ne neutralise pas correctement des éléments spéciaux utilisés dans les commandes système.
Versions concernées
Les versions vulnérables vont de la 3.3.16 jusqu’à la 3.3.21 incluse. Une correction est prévue et publiée dans la version 3.3.22, qui doit être appliquée au plus vite pour protéger les sites concernés.
Impact et risques
- Exécution de code arbitraire sur le serveur web
- Prise de contrôle complète du site hébergé
- Vol ou modification de données sensibles
- Utilisation du serveur compromis pour des attaques en chaîne
Recommandations
- Mettre à jour GetSimple CMS vers la version 3.3.22 dès que possible.
- Limiter strictement les accès aux utilisateurs authentifiés aux seuls rôles nécessaires.
- Surveiller les journaux d’activité pour détecter toute tentative d’exploitation.
- Utiliser un pare-feu applicatif web (WAF) pour filtrer les requêtes malveillantes.
Sources officielles et ressources complémentaires
La vigilance reste de mise : même les CMS légers peuvent cacher des vulnérabilités critiques. Maintenez vos systèmes à jour et surveillez vos accès.