Ninja Formsi WordPressi lisandmoodulis, millel on rohkem kui miljon aktiivset installi, on tuvastatud kriitiline haavatavus (CVE-d pole veel määratud), mis võimaldab volitamata külastajal saidi üle täieliku kontrolli saada. Probleem lahendati versioonides 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 ja 3.6.11. Märgitakse, et haavatavust kasutatakse juba rünnete läbiviimiseks ja probleemi kiireks blokeerimiseks, WordPressi platvormi arendajad algatasid kasutajasaitidele värskenduse sundautomaatse installimise.
Haavatavuse põhjuseks on funktsiooni Merge Tags juurutamise tõrge, mis võimaldab autentimata kasutajatel kutsuda mõningaid staatilisi meetodeid erinevatest Ninja Formsi klassidest (funktsioon is_callable(), et kontrollida, kas Merge'i kaudu edastatud andmetes on mainitud meetodeid Sildid). Muuhulgas oli võimalik kutsuda meetodit, mis deserialiseerib kasutaja saadetud sisu. Spetsiaalselt loodud jadaandmete edastamisega võib ründaja asendada oma objektid ja saavutada serveris PHP-koodi täitmise või kustutada saidiandmetega kataloogis suvalised failid.
Allikas: opennet.ru