เราได้รับรายงานแจ้งเตือนช่องโหว่ File Manager plugin ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของอินพุตที่ผู้ใช้ ทำให้ Hacker ได้รับสิทธิ์รับรอง Hacker จะใช้ประโยชน์จากพารามิเตอร์ ‘lang’ ใน URL ที่สร้างขึ้นมาเป็นพิเศษ เมื่อผู้ใช้คลิก URL ที่ Hacker สร้างขึ้น Hacker สามารถขโมยข้อมูลที่ใช้ตรวจสอบสิทธิ์ของผู้ใช้ได้
หมายเลขช่องโหว่: CVE-2018-16363
ช่องโหว่ที่ตรวจพบ : Cross-Site Scripting
ผลิตภัณฑ์ที่เกี่ยวข้อง : WordPress File Manager Plugin for WordPress 2.9
แนวทางแก้ไข : ทำการอัพเกรดFile Manager Plugin ให้เป็นเวอร์ชั่นล่าสุด
ที่มา : cve.mitre.org
