Дослідники безпеки оприлюднили дані про нову критичну вразливість у системі EyouCMS версій до 1.7.1 включно, яка отримала ідентифікатор CVE-2026-6561. Проблема полягає у недостатньому контролі доступу у функції редагування логотипа адміністратора – edit_adminlogo. Вразливість дозволяє авторизованому користувачу з високими привілеями маніпулювати аргументами імен файлів, що призводить до необмеженого завантаження файлів небезпечних типів безпосередньо на сервер. Це створює умови для повного захоплення контролю над веб-ресурсом через виконання довільного коду на рівні операційної системи.

Хронологія аналізу вказує на те, що експлуатація відбувається шляхом надсилання спеціально сформованого запиту до контролера Index.php. Через відсутність належної перевірки розширення файлу, зловмисник може завантажити скрипт, який сервер виконає як системну команду. Хоча для атаки потрібні права адміністратора, це створює величезний ризик у сценаріях, де зловмисники використовують вкрадені облікові дані або комбінують цю помилку з іншими методами підвищення привілеїв. Публічні звіти підтверджують наявність робочих методів експлуатації, що робить системи, які не оновилися до версії вище 1.7.1, вразливими до негайного зламу.