Больше миллиона веб-сайтов на грани взлома из-за ошибки в WPML

В популярном плагине WPML для WordPress обнаружена критическая уязвимость, которая ставит под угрозу компрометации более одного миллиона веб-сайтов. Проблема, связанная с удалённым выполнением кода (RCE), получила обозначение CVE-2024-6386 и высокий рейтинг опасности (CVSS 9.9).

Киберэксперты Wordfence объясняют, что уязвимость может быть использована злоумышленниками, имеющими права на уровне контрибьютора. Основная проблема заключается в недостаточной проверке вводимых данных при использовании шаблонов Twig для рендеринга шорт-кодов. Это приводит к инъекции шаблонов на стороне сервера (SSTI), что открывает путь для выполнения произвольного кода.

Независимый исследователь @stealhcopter, первым обнаруживший уязвимость, уже опубликовал пример кода, подтверждающий возможность эксплуатации этой проблемы для RCE. Как сообщается, уязвимость может привести к полной компрометации сайта с помощью веб-оболочек и прочих методов.

CVE-2024-6386 была устранена в версии плагина WPML 4.6.13, которая вышла 20 августа 2024 года. Пользователям настоятельно рекомендуется как можно скорее обновить плагин до этой версии, учитывая, что код для эксплуатации уязвимости уже находится в публичном доступе.

Однако разработчик плагина, компания OnTheGoSystems, старается минимизировать значимость проблемы. Её представители утверждают, что уязвимость требует определённых условий для эксплуатации, включая наличие у пользователя прав на редактирование, а также специфическую конфигурацию сайта. Они также подчёркивают, что реальная угроза эксплуатации уязвимости крайне мала.

WPML, позиционируемый как самый популярный плагин для перевода сайтов на WordPress, поддерживает более 65 языков и предлагает функцию мультивалютности. По данным разработчика, плагин установлен более чем на миллионе веб-сайтов.