พบช่องโหว่ Gain Access บน WordPress Plugin : Arigato Autoresponder กับ Newsletter

เราได้รับรายงานแจ้งเตือนช่องโหว่ Arigato Autoresponder กับ Newsletter plugin ช่องโหว่นี้เกิดจากสคริปต์ไฟล์ models/attachment.php ที่ไม่ถูกต้อง โดย Hacker จะส่งคำขอ HTTP ที่สร้างขึ้นมาเป็นพิเศษทำให้ Hacker สามารถแทรกไฟล์และสั่งรันโค้ด PHP นี้เครื่องเป้าหมายได้

หมายเลขช่องโหว่:
CVE-2018-18461

ช่องโหว่ที่ตรวจพบ :
Gain Access

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress Arigato Autoresponder and Newsletter plugin for WordPress 2.5.1.7

แนวทางแก้ไข :
ยังไม่พบแนวทางการแก้ไข แนะนำให้เลิกใช้ชั่วคราว ตรวจพบเมื่อ 17/10/2018