พบช่องโหว่ cross-site scripting บน Wordpress Plugin : Duplicator Migration

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ Duplicator Migration Plugin ช่องโหว่นี้เกิดจากการป้อนข้อมูลที่ไม่ถูกต้องของผู้ใช้ ทำให้ Hacker สามารถใช้ช่องโหว่นี้โดยผ่าน Script /wordpress//wp-content/plugins/duplicator/installer/build/view.step4.php และ / wordpress / /wp-content/plugins/duplicator/installer/build/view.step2.php  และเมื่อมีการเรียกดูหน้าเว็บ Hacker จะใช้ช่องโหว่นี้ขโมยค่า Cookie สำหรับใช้ Authentication ได้

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting
ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress Duplicator – WordPress Migration Plugin 1.2.28
แนวทางแก้ไข :
ไม่มีพบแนวทางการแก้ไข ตรวจสอบเมื่อวันที่ 7/11/2017 แนะนำให้เลิกใช้งานชั่วคราว