เราได้รับรายงานแจ้งเตือนช่องโหว่ Smush Image plugin ซึ่ง ช่องโหว่นี้เปิดช่องให้ ทำให้ Hacker ข้ามผ่าน Directories บนระบบ Hacker สามารถปลอมแปลงคำขอ โดยผ่าน Script ที่ชื่อว่า admin-ajax.php ที่ประกอบไปด้วย ‘dot dot’ (/../)ตามลำดับ ในพารามิเตอร์ dir ทำให้ Hacker เข้าดูไฟล์ที่มีอยู่ในระบบได้
- ช่องโหว่หมายเลข : CVE-2017-15079
- ช่องโหว่ที่ตรวจพบ : Gain Access
- ผลิตภัณฑ์ที่เกี่ยวข้อง : WordPress Smush Image plugin for WordPress 2.7.4.1
- แนวทางแก้ไข : ไม่มีพบแนวทางการแก้ไข ตรวจสอบเมื่อวันที่ 4/10/2017 แนะนำให้เลิกใช้งานชั่วคราว
ที่มา : cve.mitre.org
