Атака срещу системи чрез Ninja Forms WordPress плъгин с над милион инсталации

Критична уязвимост (CVE все още не е присвоена) е идентифицирана в добавката Ninja Forms WordPress, която има повече от милион активни инсталации, което позволява на неоторизиран посетител да получи пълен контрол над сайта. Проблемът беше разрешен във версии 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11. Отбелязва се, че уязвимостта вече се използва за извършване на атаки и за спешно блокиране на проблема, разработчиците на платформата WordPress инициираха принудително автоматично инсталиране на актуализацията на потребителските сайтове.

Уязвимостта е причинена от грешка в изпълнението на функционалността Merge Tags, която позволява на неупълномощени потребители да извикват някои статични методи от различни класове Ninja Forms (функцията is_callable() беше извикана, за да провери дали методите са споменати в данните, преминали през Merge етикети). Освен всичко друго, беше възможно да се извика метод, който десериализира съдържание, изпратено от потребителя. Чрез предаване на специално проектирани сериализирани данни, нападателят може да замени свои собствени обекти и да постигне изпълнение на PHP код на сървъра или да изтрие произволни файлове в директорията с данни за сайта.

Източник: opennet.ru