CVE-2026-28495 — 神龙十问 AI 深度分析摘要

🚨 **本质**：GetSimple CMS 存在 **CSRF（跨站请求伪造）** 漏洞。 💥 **后果**：攻击者可利用此漏洞实现 **远程代码执行 (RCE)**，彻底接管系统。

🔍 **CWE**：CWE-352（跨站请求伪造）。 🛑 **缺陷点**：关键操作接口 **缺少 CSRF 保护机制**，未验证请求来源合法性。

🎯 **受影响组件**：GetSimple CMS-CE。 📦 **特定版本**：**v3.3.22** 及可能存在相同缺陷的旧版本。

👑 **权限提升**：以 **管理员身份** 执行任意操作。 💻 **核心危害**：直接导致 **远程代码执行**，服务器完全沦陷，数据泄露风险极高。

🚪 **利用门槛**：中等。 👤 **条件**：无需认证 (PR:N)，但需 **用户交互** (UI:R)，即需诱导管理员点击恶意链接。

📜 **Exp/PoC**：当前数据中 **暂无** 公开 PoC 或文件。 🌍 **在野利用**：信息不足，但鉴于 CVSS 评分极高，需高度警惕。

🔎 **自查方法**： 1. 检查 CMS 版本是否为 **v3.3.22**。 2. 审查后台表单提交接口是否包含 **CSRF Token**。 3. 扫描工具检测 CSRF 防护缺失。

🛡️ **官方修复**：已发布安全公告 (GHSA-92wv-q2jp-qg88)。 ✅ **建议**：立即升级至 **最新安全版本** 或应用官方补丁。

⚠️ **临时规避**： 1. 限制后台访问 **IP 白名单**。 2. 启用 **WAF** 拦截异常 POST 请求。 3. 强制管理员使用 **强密码** 并定期更换。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：9.8 (极高)。 💡 **建议**：立即修复，RCE 漏洞不可容忍，切勿拖延。