Kriittinen haavoittuvuus (CVE:tä ei ole vielä määritetty) on tunnistettu Ninja Forms WordPress -lisäosassa, jossa on yli miljoona aktiivista asennusta, minkä ansiosta luvaton vierailija voi saada sivuston täyden hallinnan. Ongelma on ratkaistu julkaisuissa 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 ja 3.6.11. Todetaan, että haavoittuvuutta käytetään jo hyökkäyksiin ja ongelman kiireelliseen estämiseen, WordPress-alustan kehittäjät aloittivat päivityksen pakotetun automaattisen asennuksen käyttäjäsivustoille.
Haavoittuvuus johtuu virheestä Merge Tags -toiminnon toteutuksessa, jonka ansiosta todentamattomat käyttäjät voivat kutsua joitain staattisia menetelmiä eri Ninja Forms -luokista (is_callable()-funktiota kutsuttiin tarkistamaan, mainittiinko menetelmiä Mergen kautta välitetyissä tiedoissa Tunnisteet). Oli mahdollista kutsua muun muassa menetelmää, joka deserialisoi käyttäjän lähettämän sisällön. Lähettämällä erityisesti suunniteltuja sarjoitettuja tietoja, hyökkääjä voi korvata omat objektinsa ja suorittaa PHP-koodin palvelimella tai poistaa mielivaltaisia tiedostoja hakemistosta, jossa on sivustotietoja.
Lähde: opennet.ru