Mikilvægur varnarleysi (CVE hefur ekki enn verið úthlutað) hefur verið auðkennt í Ninja Forms WordPress viðbótinni, sem hefur meira en milljón virkar uppsetningar, sem gerir óviðkomandi gestum kleift að ná fullri stjórn á síðunni. Málið var leyst í útgáfum 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 og 3.6.11. Það er tekið fram að varnarleysið er nú þegar notað til að framkvæma árásir og til að koma í veg fyrir vandamálið brýn, hönnuður WordPress vettvangsins hófu þvingaða sjálfvirka uppsetningu uppfærslunnar á notendasíðum.
Varnarleysið stafar af villu í innleiðingu á Merge Tags virkninni, sem gerir óvottaðri notendum kleift að hringja í nokkrar kyrrstæður aðferðir úr ýmsum Ninja Forms flokkum (is_callable() aðgerðin var kölluð til að athuga hvort aðferðir væru nefndar í gögnunum sem fara í gegnum Merge Merki). Meðal annars var hægt að kalla aðferð sem afserializes efni sent af notanda. Með því að senda sérhönnuð raðnúmeruð gögn gæti árásarmaðurinn skipt út eigin hlutum sínum og náð fram keyrslu á PHP kóða á þjóninum eða eytt handahófskenndum skrám í möppunni með síðugögnum.
Heimild: opennet.ru