Une vulnérabilité qui a été classée critique a été trouvée dans Simplessus 3.7.7. Affecté est une fonction inconnue du composant Cookie Handler. La manipulation du paramètre UWA_SID avec une valeur d'entrée inconnue mène à une vulnérabilité de classe sql injection. Le bug a été découvert sur 13/01/2017. La notice d'information est disponible en téléchargement sur seclists.org. Cette vulnérabilité est connue comme CVE-2017-20104. Il est possible de lancer l'attaque à distance. Des details techniques sont connus. Il est déclaré comme proof-of-concept. L'exploit est disponible au téléchargment sur seclists.org. Cette vulnérabilité a été classée comme 0-day non publique pendant au moins 34 jours. Mettre à jour à la version 3.8.3 élimine cette vulnérabilité. La meilleure solution suggérée pour atténuer le problème est de mettre à jour à la dernière version. Une solution envisageable a été publiée avant et non après après la publication de la vulnérabilité.