安装在 100 万个网站上的 WPML WordPress 插件中的一个严重缺陷可能允许受影响的网站受到威胁。
适用于 WordPress 的 WPML 多语言 CMS 插件安装在超过 100 万个网站上。WPML 插件中经过身份验证的 (Contributor+) 远程代码执行 (RCE) 漏洞,跟踪 CVE-2024-6386(CVSS 评分为 9.9),可能允许入侵受影响的网站。
WPML 使构建和运行多语言网站变得容易。
“漏洞在于 WPML 插件中短代码的处理。具体来说,该插件使用 Twig 模板以短代码呈现内容,但未能正确清理输入,从而导致服务器端模板注入 (SSTI)。研究人员 Secretthcopter 发布的一份报告写道,该研究人员通过 Wordfence 漏洞赏金计划发现并负责任地报告了此问题。研究人员因这一发现获得了 1,639.00 美元的赏金。
WPML WordPress 插件依赖 Twig 模板来渲染短代码内容,但无法正确清理输入,从而导致服务器端模板注入 (SSTI) 漏洞。此漏洞可用于远程代码执行 (RCE),研究人员发布的概念验证 (PoC) 代码证明了这一点。
“这个漏洞是模板引擎中输入清理不当危险的一个典型例子。开发人员应始终清理和验证用户输入,尤其是在处理动态内容渲染时。这个案例提醒我们,安全是一个持续的过程,需要在开发和数据处理的每个阶段保持警惕。
该漏洞会影响 4.6.13 之前的插件版本
然而,该插件的维护者 OnTheGoSystems 淡化了这个问题,称该漏洞在现实世界中很难利用。
“此 WPML 版本修复了一个安全漏洞,该漏洞可能允许具有特定权限的用户执行未经授权的操作。这个问题在现实世界中不太可能发生。OnTheGoSystems wrotes.“它要求用户在 WordPress 中具有编辑权限,并且该网站必须使用非常具体的设置,”
“考虑到此漏洞的严重性,我们鼓励 WordPress 用户尽快验证他们的网站是否已更新到 WPML 的最新补丁版本。”