Se acaba de publicar una alerta de seguridad crítica de CMS Made Simple en su versión 2.1.6 que permite la ejecución de código remoto.
Esta vulnerabilidad permite la inyección de código PHP en el archivo de configuración config.php después de que la instalación ha finalizado. Para poder realizar este inyección de código, el ataque se debe producir sobre una instalación nueva del gestor de contenidos y disponer de credenciales de acceso a la base de datos, y una vez producida la inyección de código, el atacante podrá ejecutar comando a nivel de OS.
Esta vulnerabilidad ha sido solucionada desde las versiones 2.2.x, por lo que si todavía nos ha actualizado la herramienta se recomienda hacerlo inmediatamente.
Más información se puede encontrar en 0Day Database.