सुपसिस्टिक द्वारा संपर्क फ़ॉर्म <= 1.7.36 - प्रीफ़िल कार्यक्षमता के माध्यम से अप्रमाणित सर्वर-साइड टेम्पलेट इंजेक्शन (Unauthenticated Server-Side Template Injection)

वर्डप्रेस के लिए सुपसिस्टिक प्लगइन द्वारा संपर्क फ़ॉर्म, 1.7.36 तक के सभी संस्करणों में सर्वर-साइड टेम्पलेट इंजेक्शन (SSTI) के लिए असुरक्षित है, जिससे रिमोट कोड निष्पादन (RCE) हो सकता है। यह प्लगइन सैंडबॉक्सिंग के बिना ट्विग `Twig_Loader_String` टेम्पलेट इंजन का उपयोग करने के कारण है, साथ ही `cfsPreFill` प्रीफ़िल कार्यक्षमता जो अप्रमाणित उपयोगकर्ताओं को GET पैरामीटर के माध्यम से फ़ॉर्म फ़ील्ड मानों में मनमाना ट्विग एक्सप्रेशन इंजेक्ट करने की अनुमति देती है। यह अप्रमाणित हमलावरों के लिए ट्विग के `registerUndefinedFilterCallback()` विधि का लाभ उठाकर मनमाना PHP कॉलबैक को पंजीकृत करके सर्वर पर मनमाना PHP फ़ंक्शन और OS कमांड निष्पादित करना संभव बनाता है।