Ginawang Simple ang CMS. Danconia Media
Isang kahinaan na may label na CVE-2018-1000094 ay natuklasan sa bersyon 2.2.5 ng Ginawang Simple ang CMS kung saan maaaring magamit ang isang text file upang maipatupad ang php o iba pang code. Ang kahinaan na ito ay umiiral sapagkat walang pagpapatunay ng mga pangalan ng file at mga extension, na nagpapahiram sa sarili na pagsasamantalahan na kapag ang isang administrator account ay kumopya ng isang file papunta sa server gamit ang file manager, ang pangalan at extension ng file ay hindi napatunayan at kaya't ang isang nakakahamak na text file ay maaaring ma-render bilang .php at awtomatikong magpatakbo ng nakakahamak na code sa aparato. Ang kahinaan ay na-marka nang 6.5 sa CVSS 3.0 at ito ay binigyan ng isang exploitability subscore ng 8/10. Mapagsamantalahan ito sa loob ng network, medyo simple upang samantalahin, at nangangailangan ng isang oras lamang na pagpapatotoo para sa mga karapatan ng administrator.
Ang mga sumusunod code ang may-akda ni Mustafa Hasan ay nagpapakita ng katibayan ng konsepto ng kahinaan na ito.
Mukhang wala pang pag-aayos para sa kahinaan na ito. Sinabi ng mga analista na ang kahinaan na ito ay nabawasan mula sa anumang hindi magagandang kahihinatnan sa pamamagitan ng pagtiyak na ang administrator ay maaasahan, ang kanyang mga kredensyal ay hindi nakompromiso, at inilalagay ang mga patakaran ng server upang pamahalaan ang mga karapatan at pahintulot ng mga gumagamit.
