เราได้รับรายงานแจ้งเตือนช่องโหว่ WooCommerce Products Filter plugin ช่องโหว่นี้ทำให้ Hacker สามารถส่งคำขอ URL ที่สร้างขึ้นมาเป็นพิเศษ ไปยังสคริปต์ admin-ajax.php โดยใช้พารามิเตอร์ shortcode เพื่อระบุชื่อไฟล์ที่เป็นอันตรายจากภายในระบบ Hacker จะใช้ประโยชน์จากช่องโหว่นี้ เพื่อรับข้อมูลที่สำคัญบน Web Server ได้
หมายเหตุ : การที่จะรันโค้ดที่เป็นอันตรายนี้ โดยมใช้ Local File ได้นั้น Hacker จะต้องทำการอัปโหลดไฟล์ที่เป็นอันตราย หรือส่งคำสั่งที่สร้างขึ้นมาไปยังไฟล์ที่มีอยู่แล้ว
- หมายเลขช่องโหว่ : CVE-2018-8711
- ช่องโหว่ที่ตรวจพบ : Gain Access
- ผลิตภัณฑ์ที่เกี่ยวข้อง : WOOF WooCommerce Products Filter plugin for WordPress 1.1.9
- แนวทางแก้ไข : ให้อัปเกรด WOOF WooCommerce Products Filter plugin for WordPress เวอร์เวอร์ชั่นล่าสุด ตั้งแต่ 2.2.0 ขึ้นไป
ที่มา : cve.mitre.org
