พบช่องโหว่ cross-site scripting บน Wordpress Plugin : cforms2

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ cforms2 plugin ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของอินพุตที่ผู้ใช้ป้อนค่าที่ไม่ถูกต้องผ่าน IP address โดยแฮกเกอร์จะพยายามให้ผู้ใช้ที่ถูกต้องเข้าเว็บที่แฮกเกอร์สร้างขึ้น แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ส่งคำขอ HTTP ที่ไม่ถูกต้องทำการโจมตีแบบ cross-site scripting attacks เพื่อดำเนินการที่เป็นอันตรายต่างๆ ได้

หมายเลขช่องโหว่:
CVE-2019-15238

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress cformsII plugin for WordPress 15.0.1

วิธีการแก้ไข:
แนะนำให้อัพเดท cforms2 plugin ให้เป็นเวอร์ชั่นล่าสุดคือตั้งแต่ 15.0.2 ขึ้นไป