Vulnerabilidade no plugin justboil-me do tinymce

Alguém tem alguma informação a respeito do plugin justboil-me do TinyMCE, pois na empresa que trabalho o serviço de segurança constatou que ele é vulnerável. E em fiz uma pesquisa pela internet e encontrei estes dois sites falando a mesma coisa, porém sem detalhes:

É possível executar upload de arquivos apenas entrando no diretório que se encontra este plugin em /plugins/generic/tinymce/plugins/justboil.me/config.php

Se alguém souber como resolver isso, por gentileza informe-nos.

Atenciosamente,

Leonardo

Este ano, 2 hackers já colocaram imagens no nosso portal de periódicos através desse plugin, armazenando neste endereço: /public/site/images/alexander01/vuln.gif
Você sabem de alguma solução para esta falha de segurança?

Achei agora no site do pkp que não é bem uma vunerabilidade do sistema. O usuário apenas usa um recurso que todos tem acesso para colocar essa imagem.

1 curtida