Una vulnerabilità critica (CVE non è stata ancora assegnata) è stata identificata nel componente aggiuntivo Ninja Forms WordPress, che ha più di un milione di installazioni attive, consentendo a un visitatore non autorizzato di ottenere il pieno controllo del sito. Il problema è stato risolto nelle versioni 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11. Va osservato che la vulnerabilità viene già utilizzata per sferrare attacchi e per bloccare urgentemente il problema gli sviluppatori della piattaforma WordPress hanno avviato l'installazione automatica forzata dell'aggiornamento sui siti degli utenti.
La vulnerabilità è causata da un errore nell'implementazione della funzionalità Merge Tags, che consente agli utenti non autenticati di chiamare alcuni metodi statici da varie classi Ninja Forms (la funzione is_callable() è stata chiamata per verificare se i metodi erano menzionati nei dati passati tramite Merge Tag). Tra l'altro è stato possibile richiamare un metodo che deserializza i contenuti inviati dall'utente. Trasmettendo dati serializzati appositamente progettati, l'aggressore potrebbe sostituire i propri oggetti e ottenere l'esecuzione di codice PHP sul server o cancellare file arbitrari nella directory con i dati del sito.
Fonte: opennet.ru