V doplňku Ninja Forms pro WordPress, který má více než milion aktivních instalací, což umožňuje neoprávněnému návštěvníkovi získat plnou kontrolu nad webem, byla identifikována kritická zranitelnost (CVE dosud nebyla přiřazena). Problém byl vyřešen ve verzích 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 a 3.6.11. Je třeba poznamenat, že zranitelnost je již využívána k provádění útoků a k naléhavému zablokování problému zahájili vývojáři platformy WordPress nucenou automatickou instalaci aktualizace na uživatelské stránky.
Tato chyba zabezpečení je způsobena chybou v implementaci funkce Merge Tags, která umožňuje neověřeným uživatelům volat některé statické metody z různých tříd Ninja Forms (funkce is_callable() byla volána, aby zkontrolovala, zda byly metody zmíněny v datech předávaných přes Merge. Značky). Mimo jiné bylo možné zavolat metodu, která deserializuje obsah zaslaný uživatelem. Přenosem speciálně navržených serializovaných dat by útočník mohl nahradit své vlastní objekty a dosáhnout spuštění kódu PHP na serveru nebo odstranit libovolné soubory v adresáři s daty webu.
Zdroj: opennet.ru