В WordPressKerentanan kritis (CVE durung ditetepake) wis diidentifikasi ing add-on Ninja Forms, sing duwe luwih saka sayuta instalasi aktif. Kerentanan iki ngidini pengunjung sing ora sah entuk kendali lengkap situs kasebut. Masalah iki wis didandani ing rilis 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, lan 3.6.11. Perlu dicathet yen kerentanan kasebut wis dieksploitasi kanggo serangan, lan para pangembang platform wis ngetrapake perbaikan darurat. WordPress miwiti instalasi otomatis pembaruan paksa ing situs web pangguna.
Kerentanan iki disebabake dening kesalahan ing implementasine fungsi Merge Tags, sing ngidini pangguna sing ora diautentikasi nelpon metode statis tartamtu saka macem-macem kelas Ninja Forms (fungsi is_callable() ditimbali kanggo mriksa referensi metode ing data sing dikirim liwat Merge Tags). Iki kalebu nelpon metode sing mbusak seri konten sing dikirim pangguna. Kanthi ngirim data serial sing digawe khusus, penyerang bisa ngganti objek dhewe lan nglakokake kode PHP. server utawa mbusak file sembarangan ing direktori data situs.
Source: opennet.ru
