Mit über einer Million aktiven Installationen weist das Ninja Forms WordPress-Add-on eine kritische Schwachstelle auf (CVE noch nicht zugewiesen), die es einem externen Besucher ermöglichen könnte, die volle Kontrolle über die Website zu übernehmen. Das Problem wurde in den Versionen 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11 behoben. Es wird darauf hingewiesen, dass die Schwachstelle bereits für Angriffe genutzt wird und um das Problem dringend zu blockieren, haben die Entwickler der WordPress-Plattform eine erzwungene automatische Installation von Updates auf Benutzerseiten veranlasst.
Die Sicherheitslücke wird durch einen Fehler in der Implementierung der Merge-Tags-Funktionalität verursacht, die es nicht authentifizierten Benutzern ermöglicht, einige statische Methoden aus verschiedenen Ninja Forms-Klassen aufzurufen (die Funktion is_callable() wurde aufgerufen, um zu prüfen, ob in den übergebenen Daten Methoden erwähnt werden). Tags zusammenführen). Unter anderem konnte eine Methode aufgerufen werden, die eine Deserialisierung der vom Benutzer übergebenen Inhalte durchführt. Durch die Übertragung speziell formatierter serialisierter Daten könnte der Angreifer seine Objekte ersetzen und die Ausführung von PHP-Code auf dem Server erreichen oder beliebige Dateien im Site-Datenverzeichnis löschen.
Source: opennet.ru