'n Kritieke kwesbaarheid (CVE is nog nie toegewys nie) is geïdentifiseer in die Ninja Forms WordPress-byvoeging, wat meer as 'n miljoen aktiewe installasies het, wat 'n ongemagtigde besoeker toelaat om volle beheer oor die webwerf te verkry. Die probleem is opgelos in vrystellings 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 en 3.6.11. Daar word kennis geneem dat die kwesbaarheid reeds gebruik word om aanvalle uit te voer en om die probleem dringend te blokkeer, het die ontwikkelaars van die WordPress-platform gedwonge outomatiese installering van die opdatering op gebruikerswebwerwe begin.
Die kwesbaarheid word veroorsaak deur 'n fout in die implementering van die Merge Tags-funksionaliteit, wat ongeverifieerde gebruikers toelaat om sommige statiese metodes van verskeie Ninja Forms-klasse te bel (die is_callable()-funksie is opgeroep om te kyk of metodes genoem is in die data wat deur Merge gestuur is Merkers). Dit was onder meer moontlik om 'n metode te noem wat inhoud wat deur die gebruiker gestuur is, deserialiseer. Deur spesiaal ontwerpte geserialiseerde data oor te dra, kan die aanvaller sy eie voorwerpe vervang en die uitvoering van PHP-kode op die bediener bewerkstellig of arbitrêre lêers in die gids met werfdata uitvee.
Bron: opennet.ru