พบช่องโหว่ Gain Access บน WordPress Plugin : Smush Image

เราได้รับรายงานแจ้งเตือนช่องโหว่ Smush Image plugin ซึ่ง ช่องโหว่นี้เปิดช่องให้ ทำให้ Hacker ข้ามผ่าน Directories บนระบบ Hacker สามารถปลอมแปลงคำขอ โดยผ่าน Script ที่ชื่อว่า admin-ajax.php ที่ประกอบไปด้วย ‘dot dot’ (/../)ตามลำดับ ในพารามิเตอร์ dir ทำให้ Hacker เข้าดูไฟล์ที่มีอยู่ในระบบได้

 

ช่องโหว่หมายเลข :
CVE-2017-15079

ช่องโหว่ที่ตรวจพบ :
Gain Access

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress Smush Image plugin for WordPress 2.7.4.1

แนวทางแก้ไข :

ไม่มีพบแนวทางการแก้ไข ตรวจสอบเมื่อวันที่ 4/10/2017 แนะนำให้เลิกใช้งานชั่วคราว