Eng kritesch Schwachstelle (CVE ass nach net zougewisen) gouf am Ninja Forms WordPress Add-on identifizéiert, dee méi wéi eng Millioun aktive Installatiounen huet, wat en onerlaabten Besucher erlaabt eng voll Kontroll iwwer de Site ze kréien. D'Thema gouf an de Releases 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 an 3.6.11 geléist. Et gëtt bemierkt datt d'Schwachheet scho benotzt gëtt fir Attacken auszeféieren an d'Problem dréngend ze blockéieren, hunn d'Entwéckler vun der WordPress Plattform gezwongen automatesch Installatioun vun der Aktualiséierung op Benotzersäiten initiéiert.
D'Vulnerabilitéit ass verursaacht duerch e Feeler bei der Implementatioun vun der Merge Tags Funktionalitéit, déi et erlaabt onauthentifizéierte Benotzer e puer statesch Methoden aus verschiddene Ninja Forms Klassen ze ruffen (d'is_callable() Funktioun gouf geruff fir ze kontrolléieren ob Methoden an den Daten ernimmt goufen duerch Merge. Tag). Ënner anerem war et méiglech eng Method ze nennen, déi den Inhalt deen vum Benotzer geschéckt gëtt deserialiséiert. Andeems Dir speziell entworf serialiséiert Donnéeën iwwerdroe konnt, konnt den Ugräifer seng eegen Objeten ersetzen an d'Ausféierung vum PHP-Code um Server erreechen oder arbiträr Dateien am Verzeechnes mat Sitedaten läschen.
Source: opennet.ru