Se ha revelado una falla de seguridad crítica en el complemento multilingüe WPML para WordPress que podría permitir a usuarios autenticados ejecutar código arbitrario de forma remota bajo determinadas circunstancias.
La vulnerabilidad, rastreada como CVE-2024-6386 (Puntuación CVSS: 9,9), afecta a todas las versiones del complemento anteriores a la 4.6.13, que se lanzó el 20 de agosto de 2024.
El problema, que surge debido a la falta de validación y desinfección de entradas, permite que atacantes autenticados, con acceso de nivel de colaborador y superior, ejecuten código en el servidor.
WPML es un complemento popular que se utiliza para crear sitios multilingües de WordPress. Tiene más de un millón de instalaciones activas.
El investigador de seguridad stealthcopter, que descubrió y reportó CVE-2024-6386, dijo que el problema radica en el manejo del complemento. códigos cortos que se utilizan para insertar contenido de publicaciones, como audio, imágenes y videos.
«En concreto, el complemento utiliza plantillas Twig para representar el contenido en códigos cortos, pero no desinfecta adecuadamente la entrada, lo que provoca la inyección de plantillas del lado del servidor (SSTI)», dijo el investigador. dicho.
SSTI, como su nombre lo indica, ocurre Cuando un atacante puede usar la sintaxis de plantilla nativa para inyectar una carga maliciosa en una plantilla web, que luego se ejecuta en el servidor, un atacante podría aprovechar la falla para ejecutar comandos arbitrarios, lo que le permitiría tomar el control del sitio.
«Esta versión de WPML corrige una vulnerabilidad de seguridad que podría permitir a los usuarios con ciertos permisos realizar acciones no autorizadas», dijeron los mantenedores del complemento, OnTheGoSystems. dicho«Es poco probable que este problema ocurra en situaciones del mundo real. Requiere que los usuarios tengan permisos de edición en WordPress y que el sitio utilice una configuración muy específica».
Se recomienda a los usuarios del complemento que apliquen los últimos parches para mitigar posibles amenazas.