ከአንድ ሚሊዮን በላይ ንቁ ጭነቶች፣ የኒንጃ ቅጾች የዎርድፕረስ ማከያ ውጫዊ ጎብኚ ጣቢያውን ሙሉ በሙሉ እንዲቆጣጠር የሚያስችለው ወሳኝ ተጋላጭነት (CVE ገና አልተመደበም) አለው። ጉዳዩ በተለቀቁት 3.0.34.2፣ 3.1.10፣ 3.2.28፣ 3.3.21.4፣ 3.4.34.2፣ 3.5.8.4 እና 3.6.11 ውስጥ ተስተካክሏል። ተጋላጭነቱ አስቀድሞ ጥቃቶችን ለመፈጸም እና ችግሩን በአፋጣኝ ለመግታት ጥቅም ላይ እየዋለ መሆኑ ተጠቁሟል፣ የዎርድፕረስ ፕላትፎርም አዘጋጆች በተጠቃሚ ጣቢያዎች ላይ ዝማኔዎችን በግዳጅ አውቶማቲክ መጫን ጀመሩ።
ተጋላጭነቱ የተከሰተው በውህደት መለያ ተግባር አተገባበር ላይ በተፈጠረ ስህተት ነው፣ ይህም ያልተረጋገጡ ተጠቃሚዎች ከተለያዩ የኒንጃ ፎርም ክፍሎች የተወሰኑ የማይለዋወጥ ዘዴዎችን እንዲጠሩ ያስችላቸዋል (የ is_callable() ተግባር የተጠራው በውሂቡ ውስጥ ያሉትን ዘዴዎች ለመጥቀስ ነው መለያዎችን አዋህድ)። ከሌሎች ነገሮች በተጨማሪ በተጠቃሚው የተላለፈውን ይዘት መበላሸትን የሚያከናውን ዘዴን መጥራት ተችሏል. በተለየ መልኩ የተቀረጸ ተከታታይ ውሂብ በማስተላለፍ አጥቂው ዕቃዎቹን በመተካት በአገልጋዩ ላይ የPHP ኮድ አፈፃፀምን ማሳካት ወይም በጣቢያው የውሂብ ማውጫ ውስጥ የዘፈቀደ ፋይሎችን መሰረዝ ይችላል።
ምንጭ: opennet.ru