Uma vulnerabilidade crítica (CVE ainda não atribuída) foi identificada no complemento Ninja Forms WordPress, que possui mais de um milhão de instalações ativas, permitindo que um visitante não autorizado obtenha controle total do site. O problema foi resolvido nas versões 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11. Ressalta-se que a vulnerabilidade já está sendo utilizada para realizar ataques e para bloquear o problema com urgência, os desenvolvedores da plataforma WordPress iniciaram a instalação automática forçada da atualização nos sites dos usuários.
A vulnerabilidade é causada por um erro na implementação da funcionalidade Merge Tags, que permite que usuários não autenticados chamem alguns métodos estáticos de diversas classes do Ninja Forms (a função is_callable() foi chamada para verificar se métodos foram mencionados nos dados passados por Merge Tag). Entre outras coisas, foi possível chamar um método que desserializa o conteúdo enviado pelo usuário. Ao transmitir dados serializados especialmente projetados, o invasor pode substituir seus próprios objetos e executar o código PHP no servidor ou excluir arquivos arbitrários no diretório com dados do site.
Fonte: opennet.ru