Kerentanan kritis (CVE belum ditetapkan) telah diidentifikasi di add-on Ninja Forms WordPress, yang memiliki lebih dari satu juta instalasi aktif, memungkinkan pengunjung tidak sah mendapatkan kendali penuh atas situs. Masalah ini diselesaikan dalam rilis 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, dan 3.6.11. Perlu dicatat bahwa kerentanan telah digunakan untuk melakukan serangan dan untuk segera memblokir masalah, pengembang platform WordPress memulai instalasi otomatis pembaruan secara paksa di situs pengguna.
Kerentanan ini disebabkan oleh kesalahan dalam implementasi fungsi Merge Tag, yang memungkinkan pengguna yang tidak diautentikasi memanggil beberapa metode statis dari berbagai kelas Ninja Forms (fungsi is_callable() dipanggil untuk memeriksa apakah metode disebutkan dalam data yang melewati Penggabungan Tag). Antara lain, dimungkinkan untuk memanggil metode yang membatalkan serialisasi konten yang dikirim oleh pengguna. Dengan mengirimkan data serial yang dirancang khusus, penyerang dapat mengganti objeknya sendiri dan mencapai eksekusi kode PHP di server atau menghapus file arbitrer di direktori dengan data situs.
Sumber: opennet.ru