CMS simplificat. Danconia Media
Una vulnerabilitat etiquetada CVE-2018-1000094 s'ha descobert a la versió 2.2.5 de CMS simplificat en què es pot utilitzar un fitxer de text per executar PHP o un altre codi. Aquesta vulnerabilitat existeix perquè no hi ha cap verificació de noms i extensions de fitxers, cosa que es presta a l'explotació que quan un compte d'administrador copia un fitxer al servidor mitjançant l'administrador de fitxers, el nom i l'extensió del fitxer no es verificen i, per tant, es pot fer un fitxer de text maliciós es renderitzarà com a .php i executarà codi maliciós al dispositiu automàticament. La vulnerabilitat ha estat qualificada de 6,5 a CVSS 3.0 i se li ha donat una subscora d'explotabilitat de 8/10. És explotable a la xarxa, és relativament senzill d’explotar i només requereix una autenticació per als drets d’administrador.
El següent codi autor de Mustafa Hasan mostra proves del concepte d’aquesta vulnerabilitat.
Sembla que encara no hi ha cap correcció per a aquesta vulnerabilitat. Els analistes han remarcat que aquesta vulnerabilitat es mitiga de qualsevol conseqüència adversa en garantir que l’administrador és fiable, que les seves credencials no es comprometen i que s’estableixen polítiques de servidor per gestionar els drets i permisos dels usuaris.
