CMS Basitleştirildi. Danconia Media
Bir güvenlik açığı etiketli CVE-2018-1000094 2.2.5 sürümünde keşfedilmiştir. CMS Basitleştirildi php veya başka bir kodu yürütmek için bir metin dosyasının kullanılabileceği. Bu güvenlik açığı, dosya adlarının ve uzantılarının doğrulanmaması ve bir yönetici hesabı dosya yöneticisini kullanarak bir dosyayı sunucuya kopyaladığında, dosyanın adı ve uzantısının doğrulanmaması ve bu nedenle kötü amaçlı bir metin dosyasının .php olarak oluşturulabilir ve cihazda otomatik olarak kötü amaçlı kod çalıştırılabilir. Güvenlik açığı, şu tarihte 6.5 olarak derecelendirilmiştir: CVSS 3.0 ve istismar edilebilirlik alt puanı 8/10 olarak verilmiştir. Ağ içinde istismar edilebilir, sömürmesi görece basittir ve yönetici hakları için yalnızca bir seferlik kimlik doğrulama gerektirir.
Aşağıdaki kodu Mustafa Hasan'ın yazdığı bu güvenlik açığının kavramının kanıtını gösteriyor.
Görünüşe göre bu güvenlik açığı için henüz bir düzeltme yok. Analistler, bu güvenlik açığının, yöneticinin güvenilir olmasını, kimlik bilgilerinin tehlikeye atılmamasını ve kullanıcıların haklarını ve izinlerini yönetmek için sunucu politikalarının uygulanmasını sağlayarak herhangi bir olumsuz sonuçtan hafifletildiğini belirtti.
