เราได้รับรายงานแจ้งเตือนช่องโหว่ธีม cvp-irontec ช่องโหว่นี้ทำให้ Hacker สามารถอัพโหลดไฟล์ได้ ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องนามสกุลของไฟล์จากสคริปต์ din-upload.php Hacker จะใช้ประโยชน์จากช่องโหว่นี้ส่ง HTTP request (การส่งคำสั่งเพื่อขอข้อมูลโดย Client ไปยัง Server เพื่อให้ส่งข้อมูลตอบกลับมา) ที่สร้างขึ้นมา เพื่ออัปโหลดไฟล์ที่เป็นอันตราย และทำการรันโค้ดบนระบบได้
ช่องโหว่ที่ตรวจพบ :
Gain Access
ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress cvp-irontec theme for WordPress 4.8.3
แนวทางแก้ไข :
ยังไม่พบแนวทางแก้ไข แนะนำให้ปิดการใช้ชั่วคราว ตรวจพบเมื่อ 24/12/2018