Se ha descubierto una vulnerabilidad crítica en el popular complemento de WordPress, WPML, que podría permitir la ejecución remota de código arbitrario por parte de usuarios autenticados en determinadas circunstancias. Identificada como CVE-2024-6386 (CVSS score: 9.9), esta vulnerabilidad afecta a todas las versiones previas al lanzamiento de la 4.6.13 el 20 de agosto de 2024.
La falta de validación y saneamiento de entradas es la causa de esta vulnerabilidad, lo que posibilita a atacantes autenticados con permisos de nivel Contribuyente o superiores ejecutar código en el servidor.
El complemento WPML es ampliamente utilizado para habilitar la funcionalidad multilingüe en sitios web de WordPress, contando con más de un millón de instalaciones activas. Stealthcopter, un investigador de seguridad, identificó y notificó CVE-2024-6386, señalando que la vulnerabilidad reside en el manejo de los shortcodes del complemento utilizados para incrustar contenido de publicaciones, como audio, imágenes y videos.
El uso de plantillas Twig por parte del complemento para representar el contenido en shortcodes, sin un adecuado saneamiento de la entrada, da lugar a una posible inyección de plantillas en el lado del servidor (SSTI), según el investigador.
Esta inyección de plantillas en el lado del servidor (SSTI) permite a un atacante utilizar la sintaxis nativa de plantillas para inyectar código malicioso en una plantilla web, el cual se ejecutará en el servidor. Como resultado, un atacante podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios y tomar el control del sitio.
El proveedor del complemento, OnTheGoSystems, informó que la versión 4.6.13 de WPML soluciona esta vulnerabilidad de seguridad, destacando que la explotación de esta falla es poco probable en escenarios del mundo real, ya que requiere ciertos permisos de usuario en WordPress y una configuración específica del sitio.
Se aconseja a los usuarios del complemento que apliquen los parches más recientes para mitigar cualquier amenaza potencial.
En una publicación posterior, OnTheGoSystems detalló que ha lanzado WPML 4.6.13 para abordar CVE-2024-6386 y WooCommerce Multilingual 5.3.7 para solucionar una vulnerabilidad similar identificada por Patchstack. La empresa subrayó que un ataque exitoso requiere que un actor malintencionado tenga privilegios de edición en un sitio de WordPress, y que el problema ha sido completamente resuelto.
Esta actualización sigue a la publicación original para incluir información adicional sobre la solución y su impacto. Estos detalles adicionales proporcionan una visión más clara de la gravedad y las implicaciones de la vulnerabilidad.
Vía The Hacker News