- 12,454
- 18
- 8 Ноя 2022
Пользователи популярного плагина рискуют потерять контроль над своими ресурсами.
В популярном плагине WPML для WordPress обнаружена критическая уязвимость, которая ставит под угрозу компрометации более одного миллиона веб-сайтов. Проблема, связанная с удалённым выполнением кода ( RCE ), получила обозначение Для просмотра ссылки Войдиили Зарегистрируйся и высокий рейтинг опасности (CVSS 9.9).
Киберэксперты Wordfence Для просмотра ссылки Войдиили Зарегистрируйся что уязвимость может быть использована злоумышленниками, имеющими права на уровне контрибьютора. Основная проблема заключается в недостаточной проверке вводимых данных при использовании шаблонов Twig для рендеринга шорт-кодов. Это приводит к инъекции шаблонов на стороне сервера (SSTI), что открывает путь для выполнения произвольного кода.
Независимый исследователь @stealhcopter, первым обнаруживший уязвимость, Для просмотра ссылки Войдиили Зарегистрируйся пример кода, подтверждающий возможность эксплуатации этой проблемы для RCE. Как сообщается, уязвимость может привести к полной компрометации сайта с помощью веб-оболочек и прочих методов.
CVE-2024-6386 была устранена в версии плагина WPML 4.6.13, которая вышла 20 августа 2024 года. Пользователям настоятельно рекомендуется как можно скорее обновить плагин до этой версии, учитывая, что код для эксплуатации уязвимости уже находится в публичном доступе.
Однако разработчик плагина, компания OnTheGoSystems, старается минимизировать значимость проблемы. Её представители Для просмотра ссылки Войдиили Зарегистрируйся что уязвимость требует определённых условий для эксплуатации, включая наличие у пользователя прав на редактирование, а также специфическую конфигурацию сайта. Они также подчёркивают, что реальная угроза эксплуатации уязвимости крайне мала.
WPML, позиционируемый как самый популярный плагин для перевода сайтов на WordPress, поддерживает более 65 языков и предлагает функцию мультивалютности. По данным разработчика, плагин установлен более чем на миллионе веб-сайтов.
В популярном плагине WPML для WordPress обнаружена критическая уязвимость, которая ставит под угрозу компрометации более одного миллиона веб-сайтов. Проблема, связанная с удалённым выполнением кода ( RCE ), получила обозначение Для просмотра ссылки Войди
Киберэксперты Wordfence Для просмотра ссылки Войди
Независимый исследователь @stealhcopter, первым обнаруживший уязвимость, Для просмотра ссылки Войди
CVE-2024-6386 была устранена в версии плагина WPML 4.6.13, которая вышла 20 августа 2024 года. Пользователям настоятельно рекомендуется как можно скорее обновить плагин до этой версии, учитывая, что код для эксплуатации уязвимости уже находится в публичном доступе.
Однако разработчик плагина, компания OnTheGoSystems, старается минимизировать значимость проблемы. Её представители Для просмотра ссылки Войди
WPML, позиционируемый как самый популярный плагин для перевода сайтов на WordPress, поддерживает более 65 языков и предлагает функцию мультивалютности. По данным разработчика, плагин установлен более чем на миллионе веб-сайтов.
- Источник новости
- www.securitylab.ru
