Ninja Forms WordPress 插件中发现了一个严重漏洞(CVE 尚未分配),该插件的活跃安装量超过一百万,允许未经授权的访问者完全控制该网站。 该问题已在版本 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2、3.5.8.4 和 3.6.11 中得到解决。 值得注意的是,该漏洞已经被利用进行攻击,为了紧急阻止该问题,WordPress平台的开发者发起了对用户站点的强制自动安装更新。
该漏洞是由 Merge Tags 功能实现中的错误引起的,该功能允许未经身份验证的用户调用各种 Ninja Forms 类中的一些静态方法(调用 is_callable() 函数来检查通过 Merge 传递的数据中是否提到了方法)标签)。 除此之外,还可以调用反序列化用户发送的内容的方法。 通过传输专门设计的序列化数据,攻击者可以替换自己的对象并实现在服务器上执行PHP代码或删除带有站点数据的目录中的任意文件。
来源: opennet.ru