සක්රීය ස්ථාපනයන් මිලියනයකට වඩා ඇති Ninja Forms WordPress add-on හි තීරණාත්මක අවදානමක් (CVE තවම පවරා නැත) හඳුනාගෙන ඇති අතර, අනවසර අමුත්තන්ට වෙබ් අඩවියේ පූර්ණ පාලනය ලබා ගැනීමට ඉඩ සලසයි. 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, සහ 3.6.11 නිකුතු වල ගැටළුව විසඳා ඇත. ප්රහාර එල්ල කිරීමට සහ ගැටලුව වහා අවහිර කිරීමට අවදානම් බව දැනටමත් භාවිතා කරන බව සටහන් වේ, වර්ඩ්ප්රෙස් වේදිකාවේ සංවර්ධකයින් පරිශීලක අඩවි වල යාවත්කාලීන කිරීම බලහත්කාරයෙන් ස්වයංක්රීයව ස්ථාපනය කිරීමට පටන් ගත්හ.
අනාරක්ෂිත පරිශීලකයින්ට විවිධ Ninja Forms පන්ති වලින් සමහර ස්ථිතික ක්රම ඇමතීමට ඉඩ සලසන Merge Tags ක්රියාකාරීත්වය ක්රියාත්මක කිරීමේ දෝෂයක් නිසා මෙම අවදානම ඇති වේ (Merge හරහා සම්මත කරන ලද දත්තවල ක්රම සඳහන් කර ඇත්දැයි පරීක්ෂා කිරීමට is_callable() ශ්රිතය කැඳවා ඇත. ටැග්). වෙනත් දේ අතර, පරිශීලකයා විසින් එවන ලද අන්තර්ගතය ඉවත් කරන ක්රමයක් ඇමතීමට හැකි විය. විශේෂයෙන් නිර්මාණය කරන ලද අනුක්රමික දත්ත සම්ප්රේෂණය කිරීමෙන්, ප්රහාරකයාට තමාගේම වස්තූන් ආදේශ කර සේවාදායකයේ PHP කේතය ක්රියාත්මක කිරීමට හෝ අඩවි දත්ත සමඟ නාමාවලියෙහි ඇති අත්තනෝමතික ගොනු මකා දැමීමට හැකිය.
මූලාශ්රය: opennet.ru