En kritisk sårbarhed (CVE er endnu ikke blevet tildelt) er blevet identificeret i Ninja Forms WordPress-tilføjelsen, som har mere end en million aktive installationer, hvilket gør det muligt for en uautoriseret besøgende at få fuld kontrol over webstedet. Problemet blev løst i udgivelser 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 og 3.6.11. Det bemærkes, at sårbarheden allerede bliver brugt til at udføre angreb og for hurtigst muligt at blokere problemet, indledte udviklerne af WordPress-platformen tvungen automatisk installation af opdateringen på brugerwebsteder.
Sårbarheden er forårsaget af en fejl i implementeringen af Merge Tags-funktionaliteten, som gør det muligt for uautoriserede brugere at kalde nogle statiske metoder fra forskellige Ninja Forms-klasser (funktionen is_callable() blev kaldt for at kontrollere, om metoder blev nævnt i de data, der blev sendt gennem Merge tags). Det var blandt andet muligt at kalde en metode, der deserialiserer indhold sendt af brugeren. Ved at sende specialdesignede serialiserede data kan angriberen erstatte sine egne objekter og opnå eksekvering af PHP-kode på serveren eller slette vilkårlige filer i mappen med webstedsdata.
Kilde: opennet.ru