มีการระบุช่องโหว่ร้ายแรง (ยังไม่ได้กำหนด CVE) ในส่วนเสริม WordPress ของ Ninja Forms ซึ่งมีการติดตั้งที่ใช้งานอยู่มากกว่าล้านครั้ง ทำให้ผู้เยี่ยมชมที่ไม่ได้รับอนุญาตสามารถควบคุมไซต์ได้อย่างเต็มที่ ปัญหาได้รับการแก้ไขในรุ่น 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 และ 3.6.11 มีข้อสังเกตว่ามีการใช้ช่องโหว่ในการโจมตีและเพื่อป้องกันปัญหาอย่างเร่งด่วน ผู้พัฒนาแพลตฟอร์ม WordPress ได้เริ่มบังคับให้ติดตั้งการอัปเดตอัตโนมัติบนเว็บไซต์ผู้ใช้
ช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้ฟังก์ชัน Merge Tags ซึ่งช่วยให้ผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องสามารถเรียกวิธีการคงที่บางอย่างจากคลาส Ninja Forms ต่างๆ ได้ (ฟังก์ชัน is_callable() ถูกเรียกใช้เพื่อตรวจสอบว่ามีการกล่าวถึงวิธีการในข้อมูลที่ส่งผ่าน Merge หรือไม่ แท็ก) เหนือสิ่งอื่นใด คุณสามารถเรียกวิธีการดีซีเรียลไลซ์เนื้อหาที่ส่งโดยผู้ใช้ได้ ด้วยการส่งข้อมูลซีเรียลไลซ์ที่ออกแบบมาเป็นพิเศษ ผู้โจมตีสามารถแทนที่อ็อบเจ็กต์ของตนเองและบรรลุการรันโค้ด PHP บนเซิร์ฟเวอร์ หรือลบไฟล์ที่กำหนดเองในไดเร็กทอรีด้วยข้อมูลไซต์
ที่มา: opennet.ru