CMS ทำได้ง่าย Danconia Media
มีป้ายกำกับช่องโหว่ CVE-2018-1000094 ได้ถูกค้นพบในเวอร์ชัน 2.2.5 ของ CMS ทำได้ง่าย ซึ่งไฟล์ข้อความสามารถใช้เพื่อรัน php หรือโค้ดอื่น ๆ ได้ ช่องโหว่นี้เกิดขึ้นเนื่องจากไม่มีการตรวจสอบชื่อไฟล์และนามสกุลทำให้ยืมตัวเองไปใช้ประโยชน์ที่เมื่อบัญชีผู้ดูแลระบบคัดลอกไฟล์ไปยังเซิร์ฟเวอร์โดยใช้ตัวจัดการไฟล์ชื่อและนามสกุลของไฟล์จะไม่ได้รับการตรวจสอบและไฟล์ข้อความที่เป็นอันตรายอาจ แสดงผลเป็น. php และเรียกใช้โค้ดที่เป็นอันตรายบนอุปกรณ์โดยอัตโนมัติ ช่องโหว่ได้รับการให้คะแนน 6.5 ในไฟล์ CVSS 3.0 และได้รับคะแนนย่อยในการใช้ประโยชน์จาก 8/10 สามารถใช้ประโยชน์ได้ภายในเครือข่ายค่อนข้างง่ายต่อการใช้ประโยชน์และต้องการการตรวจสอบสิทธิ์เพียงครั้งเดียวสำหรับสิทธิ์ของผู้ดูแลระบบ
ดังต่อไปนี้ รหัส ประพันธ์โดยมุสตาฟาฮาซันแสดงให้เห็นถึงแนวคิดของช่องโหว่นี้
ดูเหมือนว่ายังไม่มีการแก้ไขสำหรับช่องโหว่นี้ นักวิเคราะห์ได้ตั้งข้อสังเกตว่าช่องโหว่นี้ได้รับการบรรเทาจากผลกระทบที่ไม่พึงประสงค์ใด ๆ โดยการตรวจสอบให้แน่ใจว่าผู้ดูแลระบบมีความน่าเชื่อถือข้อมูลประจำตัวจะไม่ถูกบุกรุกและมีการกำหนดนโยบายเซิร์ฟเวอร์เพื่อจัดการสิทธิ์และการอนุญาตของผู้ใช้
