CMS lihtsaks tehtud. Danconia Media
Haavatavus märgistatud CVE-2018-1000094 on avastatud versiooni 2.2.5 versioonist CMS lihtsaks tehtud milles tekstifaili saab kasutada php või muu koodi käivitamiseks. See haavatavus on olemas, kuna failinimede ja laienduste kontrollimist ei toimu, mistõttu võib ära kasutada seda, et kui administraatori konto failihalduri abil faili serverisse kopeerib, ei kontrollita faili nime ja laiendit ning seetõttu võib pahatahtlik tekstifail olla renderdatakse kui .php ja käivitatakse seadmes automaatselt pahatahtlik kood. Haavatavus on veebisaidil hinnatud 6,5 CVSS 3.0 ja sellele on antud kasutatavuse alamskoor 8/10. Seda saab võrgus kasutada, selle kasutamine on suhteliselt lihtne ja administraatori õiguste jaoks on vaja ainult ühte autentimist.
Järgnev kood autor Mustafa Hasan näitab tõendeid selle haavatavuse idee kohta.
Tundub, et selle haavatavuse jaoks pole veel parandusi. Analüütikud on märkinud, et seda haavatavust leevendatakse võimalike kahjulike tagajärgedega, tagades, et administraator on usaldusväärne, tema mandaate ei kahjustata ning kasutajate õiguste ja lubade haldamiseks on sisse seatud serveripoliitika.
