พบช่องโหว่ cross-site scripting บน Wordpress Plugin : Metronet Tag Manager

เราได้รับรายงานแจ้งเตือนช่องโหว่ Metronet Tag Manager plugin ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของอินพุตที่ผู้ใช้ ในสคริปต์ที่ users.php โดย Hacker จะส่งคำขอ URL ที่สร้างขึ้นมาเป็นพิเศษ และจะใช้ประโยชน์จากช่องโหว่นี้ ทำการโจมตีแบบ cross-site scripting, Web cache poisoning และกิจกรรมอื่นที่เป็นอันตราย

ช่องโหว่ที่ตรวจพบ :
Gain Access

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress Metronet Tag Manager Plugin for WordPress 1.2.7

แนวทางแก้ไข :
ทำการอัพเกรด Metronet Tag Manager plugin ให้เป็นเวอร์ชั่นล่าสุดตั้งแต่ 2.1.1 ขึ้นไป