พบช่องโหว่ cross-site scripting บน Wordpress Plugin : Broken Link Checker

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ Broken Link Checker plugin ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของอินพุตที่ผู้ใช้ผ่านทาง wp-admin/tools.php?page=view-broken-links Hacker จะใช้ประโยชน์จากช่องโหว่นี้ ทำการโจมตีโดยใช้พารามิเตอร์ s_filte ใน URL ที่สร้างขึ้นมา เมื่อผู้ใช้คลิก URL ที่แฮกเกอร์สร้างขึ้น แฮกเกอร์จะสามารถขโมยค่า Cookie สำหรับใช้ Authentication ได้

หมายเลขช่องโหว่:
CVE-2019-17207

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress Broken Link Checker Plugin for WordPress 1.11.8

วิธีการแก้ไข:
ยังไม่พบแนวทางการแก้ไข แนะนำให้หยุดใช้ชั่วคราว