In krityske kwetsberens (CVE is noch net tawiisd) is identifisearre yn 'e Ninja Forms WordPress-tafoeging, dy't mear as in miljoen aktive ynstallaasjes hat, wêrtroch in unautorisearre besiker de folsleine kontrôle fan' e side kin krije. It probleem waard oplost yn releases 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, en 3.6.11. It wurdt opmurken dat de kwetsberens al wurdt brûkt om oanfallen út te fieren en it probleem driuwend te blokkearjen, de ûntwikkelders fan it WordPress-platfoarm inisjearre twongen automatyske ynstallaasje fan 'e fernijing op brûkerssiden.
De kwetsberens wurdt feroarsake troch in flater yn 'e ymplemintaasje fan' e Merge Tags-funksjonaliteit, wêrtroch net-authentisearre brûkers guon statyske metoaden kinne oproppe fan ferskate Ninja Forms-klassen (de funksje is_callable() waard oanroppen om te kontrolearjen oft metoaden neamd binne yn 'e gegevens dy't troch Merge trochjûn binne. tags). Under oare dingen wie it mooglik om in metoade te neamen dy't ynhâld ferstjoerd troch de brûker deserialisearret. Troch it ferstjoeren fan spesjaal ûntworpen serialisearre gegevens, koe de oanfaller syn eigen objekten ferfange en útfiering fan PHP-koade op 'e server berikke of willekeurige bestannen yn' e map wiskje mei sidegegevens.
Boarne: opennet.ru