Ikiwa na zaidi ya usakinishaji milioni moja unaoendelea, programu jalizi ya WordPress ya Fomu za Ninja ina hatari kubwa (CVE bado haijakabidhiwa) ambayo inaweza kumruhusu mgeni wa nje kuchukua udhibiti kamili wa tovuti. Suala hilo limerekebishwa katika matoleo 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 na 3.6.11. Imebainika kuwa hatari hiyo tayari inatumika kutekeleza mashambulizi na kuzuia tatizo kwa haraka, watengenezaji wa jukwaa la WordPress walianzisha usakinishaji wa kiotomatiki wa sasisho kwenye tovuti za watumiaji.
Athari hii inasababishwa na hitilafu katika utekelezaji wa kipengele cha Unganisha Lebo, ambayo inaruhusu watumiaji ambao hawajaidhinishwa kupiga baadhi ya mbinu tuli kutoka kwa aina mbalimbali za Ninja Form (the is_callable() chaguo za kukokotoa ziliitwa ili kuangalia kutajwa kwa mbinu katika data iliyopitishwa. Unganisha Lebo). Miongoni mwa mambo mengine, iliwezekana kuita njia ambayo hufanya deserialization ya maudhui yaliyopitishwa na mtumiaji. Kupitia uhamisho wa data iliyopangwa maalum, mshambuliaji anaweza kubadilisha vitu vyake na kufikia utekelezaji wa msimbo wa PHP kwenye seva au kufuta faili za kiholela kwenye saraka ya data ya tovuti.
Chanzo: opennet.ru