漏洞概述
GetSimple CMS 的 My SMTP Contact 插件 1.1.2 版本存在 PHP 代码注入漏洞。经过身份验证的管理员可通过插件配置参数注入任意 PHP 代码,从而在服务器上实现远程代码执行(RCE)。
漏洞详情
- CVE 编号:CVE-2021-47778
- 漏洞类型:PHP 代码注入(CWE-94)
- CVSS 评分:8.6(HIGH)
- 影响版本:GetSimple CMS My SMTP Contact 插件 1.1.2
影响范围
该漏洞影响使用 GetSimple CMS 并安装了 My SMTP Contact 插件 1.1.2 版本的系统。攻击者需具备管理员权限方可利用此漏洞。
风险分析
由于漏洞允许经过身份验证的管理员注入并执行任意 PHP 代码,攻击者可借此完全控制受影响的 Web 服务器,导致数据泄露、服务中断或作为进一步内网渗透的跳板。尽管需要高权限(管理员)才能触发,但一旦被滥用,其危害性极高。
修复建议
- 目前官方尚未发布明确的补丁信息,建议用户立即停止使用 My SMTP Contact 插件 1.1.2 版本,或从可信来源获取更新版本。
- 如无法立即升级,应限制管理员账户的访问权限,并监控插件配置页面的异常修改行为。
