พบช่องโหว่ cross-site scripting บน Wordpress Plugin : mq-woocommerce-products-price-bulk-edit

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ mq-woocommerce-products-price-bulk-edit plugin ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของอินพุตที่ผู้ใช้ป้อน wp-admin/admin-ajax.php? โดยใช้พารามิเตอร์ show_products_page_limit เพื่อฉีดสคริปต์ที่เป็นอันตราย Hacker จะใช้ประโยชน์จากช่องโหว่นี้ทำการสั่งรันสคริปต์บนเว็บไซต์ Hacker จะใช้ช่องโหว่นี้ขโมยค่า Cookie สำหรับใช้ Authentication ได้

หมายเลขช่องโหว่:
CVE-2019-14796

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress mq-woocommerce-products-price-bulk-edit plugin for WordPress 2.0

วิธีการแก้ไข:
ยังไม่พบแนวทางแก้ไข แนะนำให้ยกเลิกการติดตั้งชั่วคราว