In dem WordPress-Plugin Ninja Forms, das mehr als eine Million aktive Installationen hat, wurde eine kritische Sicherheitsanfälligkeit festgestellt (CVE bisher nicht vergeben), die es unbefugten Besuchern ermöglicht, die volle Kontrolle über die Website zu erlangen. Das Problem wurde in den Versionen 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11 behoben. Es wird berichtet, dass die Sicherheitsanfälligkeit bereits für Angriffe ausgenutzt wird. Um die Problematik schnell zu adressieren, haben die Entwickler der Plattform WordPress eine zwangsweise automatische Installation des Updates auf den Websites der Nutzer initiiert.
Die Sicherheitsanfälligkeit resultiert aus einem Fehler in der Implementierung der Merge Tags-Funktionalität, die es nicht authentifizierten Benutzern ermöglicht, bestimmte statische Methoden aus verschiedenen Klassen von Ninja Forms aufzurufen (die Funktion is_callable() wurde verwendet, um die Erwähnung von Methoden in den über Merge Tags übergebenen Daten zu überprüfen). Unter anderem war der Aufruf einer Methode möglich, die die Deserialisierung des vom Benutzer übergebenen Inhalts durchführt. Durch die Übermittlung speziell gestalteter serialisierter Daten konnte ein Angreifer seine eigenen Objekte einschleusen und die Ausführung von PHP-Code erzielen. Server oder beliebige Dateien im Verzeichnis der Webseite löschen.
Quelle: opennet.ru
