Ang isang kritikal na kahinaan (hindi pa naitalaga ang CVE) ay natukoy sa Ninja Forms WordPress add-on, na mayroong higit sa isang milyong aktibong pag-install, na nagpapahintulot sa isang hindi awtorisadong bisita na makakuha ng ganap na kontrol sa site. Nalutas ang isyu sa mga release 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, at 3.6.11. Nabanggit na ang kahinaan ay ginagamit na upang magsagawa ng mga pag-atake at upang agarang harangan ang problema, sinimulan ng mga developer ng WordPress platform ang sapilitang awtomatikong pag-install ng pag-update sa mga site ng gumagamit.
Ang kahinaan ay sanhi ng isang error sa pagpapatupad ng pag-andar ng Merge Tags, na nagbibigay-daan sa mga hindi napatotohanang user na tumawag ng ilang static na pamamaraan mula sa iba't ibang klase ng Ninja Forms (tinawag ang is_callable() function upang suriin kung ang mga pamamaraan ay nabanggit sa data na ipinasa sa Merge Mga tag). Sa iba pang mga bagay, posibleng tumawag ng isang paraan na nagde-deserialize ng content na ipinadala ng user. Sa pamamagitan ng pagpapadala ng espesyal na idinisenyong serialized na data, maaaring palitan ng attacker ang kanyang sariling mga object at makamit ang pagpapatupad ng PHP code sa server o tanggalin ang mga arbitrary na file sa direktoryo ng data ng site.
Pinagmulan: opennet.ru