„Ninja Forms WordPress“ priede, kuriame yra daugiau nei milijonas aktyvių diegimų, buvo nustatytas kritinis pažeidžiamumas (CVE dar nepriskirtas), todėl neleistinas lankytojas gali visiškai valdyti svetainę. Problema išspręsta 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 ir 3.6.11 leidimuose. Pažymima, kad pažeidžiamumas jau naudojamas atakoms vykdyti ir skubiai blokuoti problemą, „WordPress“ platformos kūrėjai inicijavo priverstinį automatinį atnaujinimo diegimą vartotojų svetainėse.
Pažeidžiamumą sukelia klaida diegiant „Merge Tags“ funkciją, kuri leidžia neautentifikuotiems vartotojams iškviesti kai kuriuos statinius metodus iš įvairių „Ninja Forms“ klasių (funkcija is_callable() buvo iškviesta norint patikrinti, ar metodai buvo paminėti per Merge perduodamuose duomenyse Žymos). Be kita ko, buvo galima iškviesti metodą, kuris deserializuoja vartotojo siunčiamą turinį. Perduodamas specialiai sukurtus serializuotus duomenis, užpuolikas gali pakeisti savo objektus ir pasiekti, kad serveryje būtų vykdomas PHP kodas arba ištrinti savavališkus failus iš katalogo su svetainės duomenimis.
Šaltinis: opennet.ru