CMS Mudah. Media Danconia
Kerentanan dilabel CVE-2018-1000094 telah ditemui dalam versi 2.2.5 dari CMS Mudah di mana fail teks dapat digunakan untuk melaksanakan php atau kod lain. Kerentanan ini wujud kerana tidak ada pengesahan nama file dan ekstensi, yang meminjamkan dirinya untuk mengeksploitasi bahawa apabila akaun pentadbir menyalin fail ke pelayan menggunakan pengurus fail, nama dan pelanjutan fail tidak disahkan dan jadi fail teks berbahaya dijelaskan sebagai .php dan jalankan kod jahat pada peranti secara automatik. Kerentanan telah dinilai 6.5 pada CVSS 3.0 dan ia telah diberi nilai eksploitasi 8/10. Ia boleh dieksploitasi dalam rangkaian, agak mudah untuk dieksploitasi, dan hanya memerlukan pengesahan sekali sahaja untuk hak pentadbir.
Yang berikut kod dikarang oleh Mustafa Hasan menunjukkan bukti konsep kerentanan ini.
Nampaknya belum ada penyelesaian untuk kerentanan ini. Penganalisis menyatakan bahawa kerentanan ini dikurangkan dari akibat buruk dengan memastikan bahawa pentadbir boleh dipercayai, kelayakannya tidak dikompromikan, dan dasar pelayan disusun untuk mengurus hak dan izin pengguna.
