Kritikus sérülékenységet (CVE még nincs hozzárendelve) azonosítottak a Ninja Forms WordPress-kiegészítőjében, amely több mint egymillió aktív telepítéssel rendelkezik, így egy illetéktelen látogató teljes mértékben átveheti az irányítást az oldal felett. A probléma a 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 és 3.6.11 kiadásokban megoldódott. Megjegyzik, hogy a sérülékenységet már most is támadások végrehajtására és a probléma sürgős blokkolására használják, a WordPress platform fejlesztői a frissítés kényszerített automatikus telepítését kezdeményezték a felhasználói oldalakon.
A sérülékenységet a Merge Tags funkció megvalósításának hibája okozza, amely lehetővé teszi a nem hitelesített felhasználók számára, hogy különböző Ninja Forms osztályokból hívjanak meg néhány statikus metódust (az is_callable() függvényt azért hívták meg, hogy ellenőrizzék, hogy szerepel-e a metódus a Merge-n keresztül továbbított adatokban. Címkék). Többek között lehetőség volt olyan metódus meghívására, amely deszerializálja a felhasználó által küldött tartalmat. Speciálisan tervezett soros adatok továbbításával a támadó lecserélheti saját objektumait, és elérheti a PHP kód végrehajtását a szerveren, vagy tetszőleges fájlokat törölhet a könyvtárból a webhelyadatokkal.
Forrás: opennet.ru