Uma vulnerabilidade crítica no plugin multilíngue WPML para WordPress pode expor mais de um milhão de sites à execução remota de código (RCE).

Rastreado como CVE-2024-6386 (pontuação CVSS de 9,9), o bug pode ser explorado por um invasor com permissões de nível de colaborador, explica o pesquisador que relatou o problema.

O WPML, observa o pesquisador, depende de modelos Twig para renderização de conteúdo de shortcode, mas não higieniza adequadamente a entrada, o que resulta em uma injeção de modelo do lado do servidor (SSTI).

O pesquisador publicou um código de prova de conceito (PoC) mostrando como a vulnerabilidade pode ser explorada para RCE.

“Como acontece com todas as vulnerabilidades de execução remota de código, isso pode levar ao comprometimento completo do site por meio do uso de webshells e outras técnicas”, explicou a Defiant, a empresa de segurança do WordPress que facilitou a divulgação da falha para o desenvolvedor do plugin.

O CVE-2024-6386 foi resolvido na versão 4.6.13 do WPML, que foi lançada em 20 de agosto. Os usuários são aconselhados a atualizar para a versão 4.6.13 do WPML o mais rápido possível, já que o código PoC direcionado ao CVE-2024-6386 está disponível publicamente.

No entanto, deve-se notar que o OnTheGoSystems, o mantenedor do plugin, está minimizando a gravidade da vulnerabilidade.

“Esta versão do WPML corrige uma vulnerabilidade de segurança que pode permitir que usuários com certas permissões executem ações não autorizadas. É improvável que esse problema ocorra em cenários do mundo real. Ele requer que os usuários tenham permissões de edição no WordPress, e o site deve usar uma configuração muito específica”, observa o OnTheGoSystems.

O WPML é anunciado como o plugin de tradução mais popular para sites WordPress. Ele oferece suporte para mais de 65 idiomas e recursos multimoeda. De acordo com o desenvolvedor, o plugin está instalado em mais de um milhão de sites.

Para saber mais, clique aqui.