Se ha identificado una vulnerabilidad crítica (CVE aún no ha sido asignada) en el complemento Ninja Forms WordPress, que tiene más de un millón de instalaciones activas, lo que permite a un visitante no autorizado obtener el control total del sitio. El problema se resolvió en las versiones 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 y 3.6.11. Cabe señalar que la vulnerabilidad ya se está utilizando para realizar ataques y, para bloquear urgentemente el problema, los desarrolladores de la plataforma WordPress iniciaron la instalación automática forzada de la actualización en los sitios de los usuarios.
La vulnerabilidad es causada por un error en la implementación de la funcionalidad Merge Tags, que permite a usuarios no autenticados llamar a algunos métodos estáticos de varias clases de Ninja Forms (se llamó a la función is_callable() para verificar si los métodos se mencionaron en los datos pasados a través de Merge Etiquetas). Entre otras cosas, fue posible llamar a un método que deserializa el contenido enviado por el usuario. Al transmitir datos serializados especialmente diseñados, el atacante podría sustituir sus propios objetos y ejecutar el código PHP en el servidor o eliminar archivos arbitrarios en el directorio con datos del sitio.
Fuente: opennet.ru