CMS được thực hiện đơn giản. Danconia Media
Một lỗ hổng được gắn nhãn CVE-2018-1000094 đã được phát hiện trong phiên bản 2.2.5 của CMS được thực hiện đơn giản trong đó một tệp văn bản có thể được sử dụng để thực thi php hoặc mã khác. Lỗ hổng này tồn tại do không có xác minh tên tệp và phần mở rộng, cho phép chính nó khai thác khi tài khoản quản trị viên sao chép tệp lên máy chủ bằng trình quản lý tệp, tên và phần mở rộng của tệp không được xác minh và do đó tệp văn bản độc hại có thể được hiển thị dưới dạng .php và tự động chạy mã độc trên thiết bị. Lỗ hổng bảo mật đã được chấm điểm 6,5 trên CVSS 3.0 và nó đã được cho điểm phụ khả năng khai thác là 8/10. Nó có thể khai thác trong mạng, khai thác tương đối đơn giản và chỉ yêu cầu xác thực một lần cho quyền quản trị viên.
Sau mã tác giả của Mustafa Hasan cho thấy bằng chứng về khái niệm của lỗ hổng này.
Có vẻ như vẫn chưa có bản sửa lỗi nào cho lỗ hổng này. Các nhà phân tích đã nhận xét rằng lỗ hổng này được giảm thiểu khỏi bất kỳ hậu quả bất lợi nào bằng cách đảm bảo rằng quản trị viên đáng tin cậy, thông tin đăng nhập của họ không bị xâm phạm và các chính sách máy chủ được đưa ra để quản lý quyền và quyền của người dùng.
