พบช่องโหว่ cross-site scripting บน Wordpress Plugin : Easy Appointments

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ Easy Appointments Plugin ช่องโหว่นี้เกิดจากการป้อนข้อมูลที่ไม่ถูกต้องของผู้ใช้ ทำให้ Hacker สามารถใช้ช่องโหว่นี้โดยใช้ค่า Setting เพื่อส่ง Script ที่เป็นอันตรายลงในเว็บเพจซึ่งจะถูกเรียกใช้ในเว็บ และเมื่อมีการเรียกดูหน้าเว็บ Hacker จะใช้ช่องโหว่นี้ขโมยค่า Cookie สำหรับใช้ Authentication ได้

ช่องโหว่หมายเลข :
CVE-2017-15812

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress Easy Appointments plugin for WordPress 1.11.7

แนวทางแก้ไข :
อัพเกรด Easy Appointments Plugin เป็นเวอร์ชันล่าสุด (เวอร์ชั่นตั้งแต่ 1.12.0 ขึ้นไป)