CMS Made Simple. Danconia Media
Уязвимост с етикет CVE-2018-1000094 е открит във версия 2.2.5 на CMS Made Simple в който текстов файл може да се използва за изпълнение на php или друг код. Тази уязвимост съществува, тъй като няма проверка на имена на файлове и разширения, като се поддава на експлоата, че когато акаунт на администратор копира файл на сървъра с помощта на файловия мениджър, името и разширението на файла не са проверени и така злонамерен текстов файл да се визуализира като .php и автоматично да стартира злонамерен код на устройството. Уязвимостта е оценена с 6.5 на CVSS 3.0 и му е даден подрезултат за експлоатация 8/10. Той е използваем в мрежата, сравнително лесен за използване и изисква само еднократно удостоверяване за администраторски права.
Следното код автор на Мустафа Хасан показва доказателство за концепцията за тази уязвимост.
Изглежда, че все още няма решение за тази уязвимост. Анализаторите отбелязват, че тази уязвимост се намалява от всякакви неблагоприятни последици, като гарантира, че администраторът е надежден, неговите / нейните идентификационни данни не са компрометирани и са въведени сървърни политики за управление на правата и разрешенията на потребителите.
