Identificouse unha vulnerabilidade crítica (aínda non se asignou CVE) no complemento Ninja Forms de WordPress, que ten máis dun millón de instalacións activas, o que permite que un visitante non autorizado teña o control total do sitio. O problema resolveuse nas versións 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11. Nótase que a vulnerabilidade xa se está a utilizar para realizar ataques e para bloquear con urxencia o problema, os desenvolvedores da plataforma WordPress iniciaron a instalación automática forzada da actualización nos sitios dos usuarios.
A vulnerabilidade é causada por un erro na implementación da funcionalidade Merge Tags, que permite aos usuarios non autenticados chamar a algúns métodos estáticos de varias clases de Ninja Forms (chamouse a función is_callable() para comprobar se se mencionaron métodos nos datos pasados por Merge). Etiquetas). Entre outras cousas, foi posible chamar a un método que deserializa o contido enviado polo usuario. Ao transmitir datos serializados especialmente deseñados, o atacante podería substituír os seus propios obxectos e lograr a execución do código PHP no servidor ou eliminar ficheiros arbitrarios do directorio cos datos do sitio.
Fonte: opennet.ru