Le breis agus milliún suiteálacha gníomhacha, tá leochaileacht chriticiúil ag an breiseán Ninja Forms WordPress (CVE nár sannadh fós) a d'fhéadfadh ligean do chuairteoir seachtrach smacht iomlán a ghlacadh ar an suíomh. Tá an cheist socraithe in eisiúintí 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 agus 3.6.11. Tugtar faoi deara go bhfuil an leochaileacht á n-úsáid cheana féin chun ionsaithe a dhéanamh agus chun an fhadhb a bhlocáil go práinneach, chuir forbróirí an ardáin WordPress tús le suiteáil uathoibríoch éigeantach nuashonruithe ar shuímh úsáideoirí.
Earráid i gcur i bhfeidhm na feidhmiúlachta Merge Clibeanna is cúis leis an leochaileacht, rud a ligeann d’úsáideoirí neamhfhíoraithe roinnt modhanna statacha a ghlaoch ó aicmí éagsúla Foirmeacha Ninja (glaodh an fheidhm is_callable() chun seiceáil le haghaidh lua na modhanna sna sonraí a ritheadh trí Cumaisc Clibeanna). I measc rudaí eile, bhíothas in ann modh a ghlaoch a dhéanann díshrianú an ábhair a rith an t-úsáideoir. Trí shonraí sraitheacha atá formáidithe go speisialta a aistriú, d'fhéadfadh an t-ionsaitheoir ionadú a chuid cuspóirí a dhéanamh agus cód PHP a fhorghníomhú ar an bhfreastalaí a bhaint amach nó comhaid treallach a scriosadh san eolaire sonraí suímh.
Foinse: oscailtenet.ru