Kerentanan kritis (CVE teu acan ditugaskeun) parantos diidentifikasi dina Ninja Forms WordPress tambihan, anu ngagaduhan langkung ti sajuta pamasangan aktip, ngamungkinkeun sémah anu henteu sah pikeun ngontrol situs éta. Masalahna direngsekeun dina sékrési 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, sareng 3.6.11. Perhatikeun yén kerentanan ieu parantos dianggo pikeun ngalaksanakeun serangan sareng urgently meungpeuk masalah, pamekar platform WordPress ngagagas pamasangan otomatis pamasangan apdet dina situs pangguna.
Kerentanan disababkeun ku kasalahan dina palaksanaan fungsionalitas Merge Tags, anu ngamungkinkeun pamaké unauthenticated nelepon sababaraha métode statik ti sagala rupa kelas Ninja Bentuk (fungsi is_callable () ieu disebut pikeun pariksa naha métode anu disebutkeun dina data dialirkeun ngagabung. Tag). Diantara hal séjén, éta mungkin nelepon metoda nu deserializes eusi dikirim ku pamaké. Ku ngirimkeun data séri anu dirarancang khusus, panyerang tiasa ngagentos objékna nyalira sareng ngahontal palaksanaan kode PHP dina server atanapi ngahapus file sawenang-wenang dina diréktori sareng data situs.
sumber: opennet.ru