Misy vulnerability mitsikera (mbola tsy voatendry ny CVE) hita ao amin'ny Ninja Forms WordPress add-on, izay manana fametrahana mavitrika maherin'ny iray tapitrisa, ahafahan'ny mpitsidika tsy nahazoana alalana hahazo ny fifehezana tanteraka ny tranokala. Voavaha ny olana tamin'ny famoahana 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, ary 3.6.11. Marihina fa ny vulnerability dia efa ampiasaina amin'ny fanafihana sy hanakanana haingana ny olana, ny mpamorona ny sehatra WordPress dia nanomboka nanery ny fametrahana ny fanavaozana amin'ny tranokalan'ny mpampiasa.
Ny vulnerability dia vokatry ny hadisoana amin'ny fampiharana ny fampiasa Merge Tags, izay ahafahan'ny mpampiasa tsy voamarina hiantso fomba static sasany avy amin'ny kilasy Ninja Forms isan-karazany (nantsoina ny fiasa is_callable() mba hanamarinana raha misy fomba voalaza ao amin'ny angon-drakitra nandalo Merge Tags). Ankoatra ny zavatra hafa, dia azo atao ny miantso ny fomba deserializes votoaty nalefan'ny mpampiasa. Amin'ny alΓ lan'ny fandefasana angon-drakitra novolavolaina manokana, ny mpanafika dia afaka manolo ny zava-bitany manokana ary manatanteraka ny kaody PHP amin'ny lohamilina na mamafa rakitra tsy misy dikany ao amin'ny lahatahiry miaraka amin'ny angon-drakitra.
Source: opennet.ru