พบช่องโหว่ cross-site scripting บน Wordpress Plugin : File Manager

เราได้รับรายงานแจ้งเตือนช่องโหว่ File Manager plugin ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของอินพุตที่ผู้ใช้ ทำให้ Hacker ได้รับสิทธิ์รับรอง Hacker จะใช้ประโยชน์จากพารามิเตอร์ ‘lang’ ใน URL ที่สร้างขึ้นมาเป็นพิเศษ เมื่อผู้ใช้คลิก URL ที่ Hacker สร้างขึ้น Hacker สามารถขโมยข้อมูลที่ใช้ตรวจสอบสิทธิ์ของผู้ใช้ได้

หมายเลขช่องโหว่: CVE-2018-16363

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress File Manager Plugin for WordPress 2.9

แนวทางแก้ไข :
ทำการอัพเกรดFile Manager Plugin ให้เป็นเวอร์ชั่นล่าสุด