Kritika vundebleco (CVE ankoraŭ ne estis asignita) estis identigita en la Ninja Forms WordPress-aldonaĵo, kiu havas pli ol milionon da aktivaj instalaĵoj, permesante al neaŭtorizita vizitanto akiri plenan kontrolon de la retejo. La problemo estis solvita en eldonoj 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 kaj 3.6.11. Oni rimarkas, ke la vundebleco jam estas uzata por fari atakojn kaj por urĝe bloki la problemon, la programistoj de la WordPress-platformo iniciatis devigitan aŭtomatan instaladon de la ĝisdatigo sur uzantejoj.
La vundebleco estas kaŭzita de eraro en la efektivigo de la Merge Tags-funkcio, kiu permesas neaŭtentikigitajn uzantojn voki iujn senmovajn metodojn de diversaj Ninja Forms-klasoj (la funkcio is_callable() estis vokita por kontroli ĉu metodoj estis menciitaj en la datumoj pasigitaj tra Merge. Etikedoj). Interalie, eblis voki metodon, kiu deserialigas enhavon senditan de la uzanto. Transdonante speciale desegnitajn seriigitajn datumojn, la atakanto povus anstataŭigi siajn proprajn objektojn kaj atingi ekzekuton de PHP-kodo sur la servilo aŭ forigi arbitrajn dosierojn en la dosierujo kun retejo-datumoj.
fonto: opennet.ru