ஒரு மில்லியனுக்கும் அதிகமான செயலில் உள்ள நிறுவல்களைக் கொண்ட Ninja Forms WordPress ஆட்-ஆனில் ஒரு முக்கியமான பாதிப்பு (CVE இன்னும் ஒதுக்கப்படவில்லை) அடையாளம் காணப்பட்டுள்ளது, இது அங்கீகரிக்கப்படாத பார்வையாளர் தளத்தின் முழுக் கட்டுப்பாட்டைப் பெற அனுமதிக்கிறது. 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 மற்றும் 3.6.11 வெளியீடுகளில் சிக்கல் தீர்க்கப்பட்டது. தாக்குதல்களை நடத்துவதற்கும், சிக்கலை அவசரமாகத் தடுப்பதற்கும் பாதிப்பு ஏற்கனவே பயன்படுத்தப்பட்டு வருகிறது என்பது குறிப்பிடத்தக்கது, வேர்ட்பிரஸ் தளத்தின் டெவலப்பர்கள் பயனர் தளங்களில் புதுப்பித்தலின் கட்டாய தானியங்கி நிறுவலைத் தொடங்கினர்.
ஒன்றிணைத்தல் குறிச்சொற்கள் செயல்பாட்டைச் செயல்படுத்துவதில் ஏற்பட்ட பிழையால் இந்த பாதிப்பு ஏற்படுகிறது, இது அங்கீகரிக்கப்படாத பயனர்கள் பல்வேறு நிஞ்ஜா படிவ வகுப்புகளில் இருந்து சில நிலையான முறைகளை அழைக்க அனுமதிக்கிறது (is_callable() செயல்பாடு Merge மூலம் அனுப்பப்பட்ட தரவுகளில் முறைகள் குறிப்பிடப்பட்டுள்ளதா என்பதைச் சரிபார்க்க அழைக்கப்பட்டது. குறிச்சொற்கள்). மற்றவற்றுடன், பயனர் அனுப்பிய உள்ளடக்கத்தை சீரழிக்கும் முறையை அழைக்க முடியும். சிறப்பாக வடிவமைக்கப்பட்ட வரிசைப்படுத்தப்பட்ட தரவை அனுப்புவதன் மூலம், தாக்குபவர் தனது சொந்த பொருட்களை மாற்றலாம் மற்றும் சர்வரில் PHP குறியீட்டை செயல்படுத்தலாம் அல்லது தள தரவுகளுடன் கோப்பகத்தில் உள்ள தன்னிச்சையான கோப்புகளை நீக்கலாம்.
ஆதாரம்: opennet.ru