Une vulnérabilité critique (CVE n'a pas encore été attribuée) a été identifiée dans le module complémentaire WordPress Ninja Forms, qui compte plus d'un million d'installations actives, permettant à un visiteur non autorisé de prendre le contrôle total du site. Le problème a été résolu dans les versions 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 et 3.6.11. Il est à noter que la vulnérabilité est déjà utilisée pour mener des attaques et pour bloquer le problème en urgence, les développeurs de la plateforme WordPress ont initié l'installation automatique forcée de la mise à jour sur les sites des utilisateurs.
La vulnérabilité est causée par une erreur dans l'implémentation de la fonctionnalité Merge Tags, qui permet aux utilisateurs non authentifiés d'appeler certaines méthodes statiques de diverses classes Ninja Forms (la fonction is_callable() a été appelée pour vérifier si les méthodes étaient mentionnées dans les données transmises via Merge. Mots clés). Entre autres choses, il a été possible d'appeler une méthode qui désérialise le contenu envoyé par l'utilisateur. En transmettant des données sérialisées spécialement conçues, l'attaquant pourrait substituer ses propres objets et exécuter du code PHP sur le serveur ou supprimer des fichiers arbitraires dans le répertoire contenant les données du site.
Source: opennet.ru