W dodatku Ninja Forms WordPress, który ma ponad milion aktywnych instalacji, pozwala nieuprawnionemu odwiedzającemu uzyskać pełną kontrolę nad witryną, zidentyfikowano krytyczną lukę (nie przypisano jeszcze CVE). Problem został rozwiązany w wersjach 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 i 3.6.11. Należy zauważyć, że luka jest już wykorzystywana do przeprowadzania ataków i aby pilnie zablokować problem, twórcy platformy WordPress zainicjowali wymuszoną automatyczną instalację aktualizacji na stronach użytkowników.
Podatność spowodowana jest błędem w implementacji funkcjonalności Merge Tags, która umożliwia nieuwierzytelnionym użytkownikom wywoływanie niektórych metod statycznych z różnych klas Ninja Forms (funkcja is_callable() została wywołana w celu sprawdzenia, czy w danych przekazywanych przez Merge były wymienione metody Tagi). Między innymi udało się wywołać metodę deserializującą treść przesyłaną przez użytkownika. Przesyłając specjalnie zaprojektowane serializowane dane, atakujący może zastąpić własne obiekty i uzyskać wykonanie kodu PHP na serwerze lub usunąć dowolne pliki w katalogu z danymi witryny.
Źródło: opennet.ru