Med över en miljon aktiva installationer har WordPress-tillägget Ninja Forms en kritisk sårbarhet (CVE ännu inte tilldelad) som kan tillåta en extern besökare att ta full kontroll över webbplatsen. Problemet har åtgärdats i versionerna 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 och 3.6.11. Det noteras att sårbarheten redan används för att utföra attacker och för att snabbt blockera problemet, initierade utvecklarna av WordPress-plattformen en påtvingad automatisk installation av uppdateringar på användarwebbplatser.
Sårbarheten orsakas av ett fel i implementeringen av funktionen Merge Tags, som gör det möjligt för oautentiserade användare att anropa några statiska metoder från olika Ninja Forms-klasser (funktionen is_callable() anropades för att kontrollera om metoderna nämns i den data som skickas igenom Slå samman taggar). Bland annat gick det att anropa en metod som utför deserialisering av innehållet som passerats av användaren. Genom överföring av speciellt formaterade serialiserade data kan angriparen utföra substitution av sina objekt och uppnå exekvering av PHP-kod på servern eller ta bort godtyckliga filer i webbplatsens datakatalog.
Källa: opennet.ru