En kritisk sårbarhet (CVE er ennå ikke tildelt) har blitt identifisert i Ninja Forms WordPress-tillegget, som har mer enn en million aktive installasjoner, som lar en uautorisert besøkende få full kontroll over nettstedet. Problemet ble løst i utgavene 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 og 3.6.11. Det bemerkes at sårbarheten allerede brukes til å utføre angrep og for å raskt blokkere problemet, initierte utviklerne av WordPress-plattformen tvungen automatisk installasjon av oppdateringen på brukernettsteder.
Sårbarheten er forårsaket av en feil i implementeringen av Merge Tags-funksjonaliteten, som lar uautentiserte brukere kalle noen statiske metoder fra ulike Ninja Forms-klasser (is_callable()-funksjonen ble kalt for å sjekke om metoder ble nevnt i dataene som ble sendt gjennom Merge Tagger). Det var blant annet mulig å kalle en metode som deserialiserer innhold sendt av brukeren. Ved å overføre spesialdesignede serialiserte data, kan angriperen erstatte sine egne objekter og oppnå kjøring av PHP-kode på serveren eller slette vilkårlige filer i katalogen med nettstedsdata.
Kilde: opennet.ru