Një cenueshmëri kritike (CVE ende nuk është caktuar) është identifikuar në shtesën Ninja Forms WordPress, e cila ka më shumë se një milion instalime aktive, duke lejuar një vizitor të paautorizuar të fitojë kontrollin e plotë të sajtit. Çështja u zgjidh në versionet 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 dhe 3.6.11. Vihet re se dobësia tashmë po përdoret për të kryer sulme dhe për të bllokuar urgjentisht problemin, zhvilluesit e platformës WordPress filluan instalimin automatik të detyruar të përditësimit në faqet e përdoruesve.
Dobësia është shkaktuar nga një gabim në zbatimin e funksionalitetit Merge Tags, i cili lejon përdoruesit e paautentikuar të thërrasin disa metoda statike nga klasa të ndryshme Ninja Forms (funksioni is_callable() u thirr për të kontrolluar nëse metodat janë përmendur në të dhënat e kaluara përmes Merge Etiketat). Ndër të tjera, ishte e mundur të quhej një metodë që deserializon përmbajtjen e dërguar nga përdoruesi. Duke transmetuar të dhëna të serializuara të dizajnuara posaçërisht, sulmuesi mund të zëvendësojë objektet e tij dhe të arrijë ekzekutimin e kodit PHP në server ose të fshijë skedarë arbitrar në drejtori me të dhënat e faqes.
Burimi: opennet.ru