เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ Ultimate Member Plugin ช่องโหว่นี้เกิดจากข้อบกพร่องฟังก์ชัน AJAX โดย Hacker จะสร้างการสร้าง URL ขึ้นมาเป็นพิเศษซึ่งประกอบด้วย “dot dot” (/../) ทำให้ Hacker ได้รับสิทธิที่ถูกต้องสามารถตรวจสอบไดเรกทอรีในระบบได้ และสามารถลบไฟล์ในระบบได้
เลขช่องโหว่ : CVE-2018-0588
ช่องโหว่ที่ตรวจพบ : Obtain Information
ผลิตภัณฑ์ที่เกี่ยวข้อง : WordPress Ultimate Member Plugin for WordPress 2.0.12
แนวทางแก้ไข : แนะนำให้ให้อัปเกรดให้เป็นเวอร์ชั่น 2.0.13 ขึ้นไป
ที่มา : cve.mitre.org
