У WordPress-дадатку Ninja Forms, які мае больш за мільён актыўных установак, выяўлена крытычная ўразлівасць (CVE пакуль не прысвоены), якая дазваляе старонняму наведвальніку атрымаць поўны кантроль над сайтам. Праблема ўхіленая ў выпусках 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 і 3.6.11. Адзначаецца, што ўразлівасць ужо выкарыстоўваецца для здзяйснення нападаў і для экстранага блакавання праблемы распрацоўшчыкі платформы WordPress ініцыявалі прымусовую аўтаматычную ўстаноўку абнаўлення на сайты карыстальнікаў.
Уразлівасць выклікана памылкай у рэалізацыі функцыянальнасці Merge Tags, якая дазваляе неаўтэнтыфікаваным карыстачам выклікаць некаторыя статычныя метады з розных класаў Ninja Forms (для праверкі згадвання метадаў у перадаюцца праз Merge Tags дадзеных выклікалася функцыя is_callable()). У тым ліку быў даступны выклік метаду, які выконвае дэсерыялізацыю змесціва, перададзенага карыстальнікам. Праз перадачу спецыяльна аформленых серыялізаваных дадзеных атакавалы мог ажыццявіць падстаноўку сваіх аб'ектаў і дамагчыся выкананні PHP-кода на серверы або выдаліць адвольныя файлы ў каталогу з дадзенымі сайта.
Крыніца: opennet.ru