เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ Easy Appointments Plugin ช่องโหว่นี้เกิดจากการป้อนข้อมูลที่ไม่ถูกต้องของผู้ใช้ ทำให้ Hacker สามารถใช้ช่องโหว่นี้โดยใช้ค่า Setting เพื่อส่ง Script ที่เป็นอันตรายลงในเว็บเพจซึ่งจะถูกเรียกใช้ในเว็บ และเมื่อมีการเรียกดูหน้าเว็บ Hacker จะใช้ช่องโหว่นี้ขโมยค่า Cookie สำหรับใช้ Authentication ได้
ช่องโหว่หมายเลข : CVE-2017-15812
ช่องโหว่ที่ตรวจพบ : Cross-Site Scripting
ผลิตภัณฑ์ที่เกี่ยวข้อง : WordPress Easy Appointments plugin for WordPress 1.11.7
แนวทางแก้ไข : อัพเกรด Easy Appointments Plugin เป็นเวอร์ชันล่าสุด (เวอร์ชั่นตั้งแต่ 1.12.0 ขึ้นไป)
ที่มา : cve.mitre.org
