У WordPress-доповненні Ninja Forms, що має більше мільйона активних установок, виявлено критичну вразливість (CVE поки не присвоєно), що дозволяє сторонньому відвідувачу отримати повний контроль над сайтом. Проблема усунена у випусках 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 та 3.6.11. Наголошується, що вразливість вже використовується для здійснення атак і для екстреного блокування проблеми розробники платформи WordPress ініціювали примусове автоматичне встановлення оновлення на сайти користувачів.
Вразливість викликана помилкою в реалізації функціональності Merge Tags, що дозволяє неавтентифікованим користувачам викликати деякі статичні методи з різних класів Ninja Forms (для перевірки згадки методів даних, що передаються через Merge Tags, викликалася функція is_callable()). У тому числі був доступний виклик методу, що виконує десеріалізацію вмісту, переданого користувачем. Через передачу спеціально оформлених серіалізованих даних атакуючий міг здійснити підстановку своїх об'єктів і досягти виконання PHP-коду на сервері або видалити довільні файли в каталозі з даними сайту.
Джерело: opennet.ru