Một lỗ hổng nghiêm trọng (CVE chưa được chỉ định) đã được xác định trong tiện ích bổ sung Ninja Forms WordPress, tiện ích bổ sung này có hơn một triệu lượt cài đặt đang hoạt động, cho phép khách truy cập trái phép có toàn quyền kiểm soát trang web. Sự cố đã được giải quyết trong các bản phát hành 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 và 3.6.11. Cần lưu ý rằng lỗ hổng này đã được sử dụng để thực hiện các cuộc tấn công và ngăn chặn sự cố khẩn cấp, các nhà phát triển nền tảng WordPress đã bắt đầu buộc cài đặt bản cập nhật tự động trên trang web của người dùng.
Lỗ hổng này xảy ra do lỗi trong quá trình triển khai chức năng Thẻ Hợp nhất, cho phép người dùng không được xác thực gọi một số phương thức tĩnh từ các lớp Ninja Forms khác nhau (hàm is_callable() được gọi để kiểm tra xem các phương thức có được đề cập trong dữ liệu được truyền qua Hợp nhất hay không Thẻ). Trong số những thứ khác, có thể gọi một phương thức giải tuần tự hóa nội dung do người dùng gửi. Bằng cách truyền dữ liệu tuần tự được thiết kế đặc biệt, kẻ tấn công có thể thay thế các đối tượng của chính mình và thực thi mã PHP trên máy chủ hoặc xóa các tệp tùy ý trong thư mục có dữ liệu trang web.
Nguồn: opennet.ru