Μια κρίσιμη ευπάθεια (το CVE δεν έχει ακόμη εκχωρηθεί) εντοπίστηκε στο πρόσθετο Ninja Forms WordPress, το οποίο έχει περισσότερες από ένα εκατομμύριο ενεργές εγκαταστάσεις, επιτρέποντας σε έναν μη εξουσιοδοτημένο επισκέπτη να αποκτήσει τον πλήρη έλεγχο του ιστότοπου. Το ζήτημα επιλύθηκε στις εκδόσεις 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 και 3.6.11. Σημειώνεται ότι η ευπάθεια χρησιμοποιείται ήδη για την πραγματοποίηση επιθέσεων και για την επείγουσα παρεμπόδιση του προβλήματος, οι προγραμματιστές της πλατφόρμας WordPress ξεκίνησαν την αναγκαστική αυτόματη εγκατάσταση της ενημέρωσης σε ιστότοπους χρηστών.
Η ευπάθεια προκαλείται από ένα σφάλμα στην υλοποίηση της λειτουργίας Merge Tags, η οποία επιτρέπει στους χρήστες χωρίς έλεγχο ταυτότητας να καλούν ορισμένες στατικές μεθόδους από διάφορες κλάσεις Ninja Forms (η συνάρτηση is_callable() κλήθηκε για να ελεγχθεί εάν οι μέθοδοι αναφέρθηκαν στα δεδομένα που διαβιβάστηκαν μέσω της συγχώνευσης Ετικέτες). Μεταξύ άλλων, ήταν δυνατή η κλήση μιας μεθόδου που απελευθερώνει το περιεχόμενο που αποστέλλεται από τον χρήστη. Με τη μετάδοση ειδικά σχεδιασμένων σειριακών δεδομένων, ο εισβολέας θα μπορούσε να αντικαταστήσει τα δικά του αντικείμενα και να επιτύχει την εκτέλεση κώδικα PHP στον διακομιστή ή να διαγράψει αυθαίρετα αρχεία στον κατάλογο με δεδομένα τοποθεσίας.
Πηγή: opennet.ru