CMS simplificat. Danconia Media
O vulnerabilitate etichetată CVE-2018-1000094 a fost descoperit în versiunea 2.2.5 a CMS simplificat în care un fișier text poate fi folosit pentru a executa php sau alt cod. Această vulnerabilitate există deoarece nu există nicio verificare a numelor și extensiilor de fișiere, oferindu-se exploatării că, atunci când un cont de administrator copiază un fișier pe server folosind managerul de fișiere, numele și extensia fișierului nu sunt verificate și, prin urmare, un fișier text rău să fie redat ca .php și să ruleze automat codul rău intenționat pe dispozitiv. Vulnerabilitatea a fost clasificată 6.5 pe CVSS 3.0 și i sa acordat o subscore de exploatabilitate de 8/10. Este exploatabil în rețea, relativ simplu de exploatat și necesită o singură autentificare de timp pentru drepturile de administrator.
Următoarele cod scris de Mustafa Hasan arată dovada conceptului acestei vulnerabilități.
Se pare că nu există încă nicio remediere pentru această vulnerabilitate. Analiștii au remarcat că această vulnerabilitate este atenuată de orice consecințe nefavorabile, asigurându-se că administratorul este fiabil, acreditările sale nu sunt compromise și că politicile de server sunt puse în aplicare pentru a gestiona drepturile și permisiunile utilizatorilor.
