CMS Made Simple. „Danconia Media“
Pažeidžiamumas pažymėtas CVE-2018-1000094 buvo atrastas 2.2.5 versijoje CMS Made Simple kuriame tekstinį failą galima naudoti php ar kitam kodui vykdyti. Šis pažeidžiamumas egzistuoja todėl, kad nėra tikrinami failų pavadinimai ir plėtiniai, todėl galima pasinaudoti tuo, kad kai administratoriaus paskyra nukopijuoja failą į serverį naudodama failų tvarkyklę, failo vardas ir plėtinys nėra patikrinamas, todėl gali būti kenkėjiškas tekstinis failas būti atvaizduoti kaip .php ir paleisti kenkėjišką kodą įrenginyje automatiškai. Pažeidžiamumas buvo 6,5 laipsnio CVSS 3.0 ir jam buvo suteiktas 8/10 išnaudojimo balas. Jį galima naudoti tinkle, palyginti paprasta naudoti ir norint gauti administratoriaus teises reikalingas tik vienas autentifikavimas.
Sekantis kodas autorius Mustafa Hasanas rodo šio pažeidžiamumo koncepcijos įrodymą.
Panašu, kad šio pažeidžiamumo dar nėra. Analitikai pastebėjo, kad šis pažeidžiamumas pašalinamas nuo bet kokių neigiamų padarinių užtikrinant, kad administratorius būtų patikimas, nebūtų pažeisti jo įgaliojimai ir būtų įdiegta serverio politika, skirta valdyti vartotojų teises ir leidimus.
