V dodatku za WordPress Ninja Forms, ki ima več kot milijon aktivnih namestitev, je bila ugotovljena kritična ranljivost (CVE še ni dodeljen), kar nepooblaščenemu obiskovalcu omogoča popoln nadzor nad mestom. Težava je bila odpravljena v izdajah 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 in 3.6.11. Opozoriti je treba, da se ranljivost že uporablja za izvajanje napadov in za nujno blokiranje težave, razvijalci platforme WordPress pa so sprožili prisilno samodejno namestitev posodobitve na uporabniška mesta.
Ranljivost je posledica napake pri izvajanju funkcionalnosti Merge Tags, ki nepreverjenim uporabnikom omogoča klic nekaterih statičnih metod iz različnih razredov Ninja Forms (funkcija is_callable() je bila poklicana, da preveri, ali so bile metode omenjene v podatkih, posredovanih prek Merge oznake). Med drugim je bilo mogoče poklicati metodo, ki deserializira vsebino, ki jo pošlje uporabnik. S posredovanjem posebej oblikovanih serializiranih podatkov bi lahko napadalec zamenjal svoje objekte in dosegel izvajanje PHP kode na strežniku ali izbrisal poljubne datoteke v imeniku s podatki o spletnem mestu.
Vir: opennet.ru