Amb més d'un milió d'instal·lacions actives, el complement de WordPress Ninja Forms té una vulnerabilitat crítica (CVE encara no assignat) que podria permetre a un visitant extern prendre el control total del lloc. El problema s'ha solucionat a les versions 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 i 3.6.11. S'observa que la vulnerabilitat ja s'està utilitzant per dur a terme atacs i per bloquejar urgentment el problema, els desenvolupadors de la plataforma WordPress van iniciar una instal·lació automàtica forçada d'actualitzacions als llocs dels usuaris.
La vulnerabilitat és causada per un error en la implementació de la funcionalitat Merge Tags, que permet als usuaris no autenticats cridar alguns mètodes estàtics de diverses classes de Ninja Forms (la funció is_callable() es va cridar per comprovar si es mencionen mètodes a les dades passant Fusionar etiquetes). Entre altres coses, era possible cridar un mètode que realitza la deserialització del contingut passat per l'usuari. Mitjançant la transferència de dades serialitzades amb un format especial, l'atacant podria realitzar la substitució dels seus objectes i aconseguir l'execució del codi PHP al servidor o esborrar fitxers arbitraris al directori de dades del lloc.
Font: opennet.ru