Миллиондон ашык активдүү орнотуулары бар Ninja Forms WordPress кошумчасында маанилүү аялуу (CVE али дайындала элек) аныкталган, бул уруксатсыз келүүчүгө сайтты толук көзөмөлдөөгө мүмкүндүк берет. Маселе 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 жана 3.6.11 релиздерде чечилген. Алсыздык буга чейин чабуулдарды ишке ашыруу жана көйгөйдү тез арада бөгөттөө үчүн колдонулуп жатканы белгиленип, WordPress платформасынын иштеп чыгуучулары колдонуучулардын сайттарында жаңыртууну мажбурлап автоматтык түрдө орнотууну демилгелешкен.
Аялуулугу Бириктирүү Тегдер функциясын ишке ашыруудагы катадан келип чыгат, бул аныктыгы текшерилбеген колдонуучуларга ар кандай Ninja Forms класстарынан статикалык методдорду чакырууга мүмкүндүк берет (is_callable() функциясы Бириктирүү аркылуу өткөн маалыматтарда методдор айтылганын текшерүү үчүн чакырылган. Тегдер). Башка нерселер менен катар, колдонуучу жөнөткөн мазмунду сериализациялоочу ыкманы чакырууга мүмкүн болду. Атайын иштелип чыккан серияланган маалыматтарды берүү менен, чабуулчу өзүнүн объекттерин алмаштырып, серверде PHP кодунун аткарылышына же сайттын маалыматтары менен каталогдогу каалаган файлдарды жок кыла алат.
Source: opennet.ru