Er is een kritieke kwetsbaarheid (CVE is nog niet toegewezen) geïdentificeerd in de Ninja Forms WordPress add-on, die meer dan een miljoen actieve installaties heeft, waardoor een ongeautoriseerde bezoeker volledige controle over de site kan krijgen. Het probleem is opgelost in releases 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 en 3.6.11. Opgemerkt wordt dat de kwetsbaarheid al wordt gebruikt om aanvallen uit te voeren en om het probleem dringend te blokkeren, hebben de ontwikkelaars van het WordPress-platform een gedwongen automatische installatie van de update op gebruikerssites geïnitieerd.
Het beveiligingslek wordt veroorzaakt door een fout in de implementatie van de Merge Tags-functionaliteit, waarmee niet-geverifieerde gebruikers enkele statische methoden uit verschillende Ninja Forms-klassen kunnen aanroepen (de functie is_callable() werd aangeroepen om te controleren of methoden werden genoemd in de gegevens die via Merge werden doorgegeven Labels). Het was onder andere mogelijk om een methode aan te roepen die door de gebruiker verzonden inhoud deserialiseert. Door speciaal ontworpen geserialiseerde gegevens te verzenden, kan de aanvaller zijn eigen objecten vervangen en PHP-code op de server uitvoeren of willekeurige bestanden in de map met sitegegevens verwijderen.
Bron: opennet.ru