Կրիտիկական խոցելիություն (CVE դեռ նշանակված չէ) հայտնաբերվել է Ninja Forms WordPress հավելումում, որն ունի ավելի քան մեկ միլիոն ակտիվ տեղադրում, որը թույլ է տալիս չարտոնված այցելուին ձեռք բերել կայքի ամբողջական վերահսկողությունը: Խնդիրը լուծվել է 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 և 3.6.11 թողարկումներում: Նշվում է, որ խոցելիությունն արդեն օգտագործվում է հարձակումներ իրականացնելու և խնդիրը հրատապ արգելափակելու համար, WordPress հարթակի մշակողները նախաձեռնել են թարմացման հարկադիր ավտոմատ տեղադրում օգտատերերի կայքերում։
Խոցելիությունը առաջացել է Merge Tags ֆունկցիոնալության իրագործման սխալի պատճառով, որը թույլ է տալիս չհաստատված օգտատերերին կանչել որոշ ստատիկ մեթոդներ Ninja Forms-ի տարբեր դասերից (is_callable() ֆունկցիան կանչվել է՝ ստուգելու, թե արդյոք մեթոդները նշված են Merge-ի միջոցով փոխանցված տվյալների մեջ: Պիտակներ): Ի թիվս այլ բաների, հնարավոր եղավ անվանել մեթոդ, որը ապասերիալացնում է օգտատիրոջ ուղարկած բովանդակությունը: Հաղորդելով հատուկ մշակված սերիական տվյալներ՝ հարձակվողը կարող է փոխարինել իր սեփական օբյեկտները և հասնել սերվերի վրա PHP կոդի գործարկման կամ կայքի տվյալների հետ գրացուցակում ջնջել կամայական ֆայլերը:
Source: opennet.ru