Търсене
Close this search box.

Критична уязвимост в многоезичната приставка WPML за WordPress може да изложи над един милион уебсайта на риск от отдалечено изпълнение на код (RCE).

Проследена като CVE-2024-6386 (CVSS оценка 9,9), грешката може да бъде използвана от нападател с права на ниво сътрудник, обяснява изследователят, който е докладвал за проблема.

Изследователят отбелязва, че WPML разчита на шаблони Twig за визуализиране на съдържанието на shortcode, но не обработва правилно входните данни, което води до инжектиране на шаблони от страна на сървъра (SSTI).

Изследователят е публикувал код за проверка на концепцията (PoC), който показва как уязвимостта може да бъде използвана за RCE.

„Както при всички уязвимости с отдалечено изпълнение на код, това може да доведе до пълно компрометиране на сайта чрез използване на уебшелове и други техники“, обясни Defiant, фирмата за сигурност на WordPress, която улесни разкриването на дефекта пред разработчика на плъгина.

CVE-2024-6386 е отстранена във версия 4.6.13 на WPML, която беше пусната на 20 август. Препоръчваме на потребителите да актуализират до версия 4.6.13 на WPML възможно най-скоро, като се има предвид, че PoC кодът, насочен към CVE-2024-6386, е публично достъпен.

Все пак трябва да се отбележи, че OnTheGoSystems, поддържащият плъгина, омаловажава сериозността на уязвимостта.

„Тази версия на WPML поправя уязвимост в сигурността, която може да позволи на потребители с определени права да извършват неоторизирани действия. Малко вероятно е този проблем да възникне в реални сценарии. Той изисква потребителите да имат права за редактиране в WordPress, а сайтът трябва да използва много специфична настройка“, отбелязва OnTheGoSystems.

WPML се рекламира като най-популярната приставка за превод за сайтове на WordPress. Тя предлага поддръжка за над 65 езика и функции за работа с няколко валути. Според разработчика плъгинът е инсталиран на над един милион уебсайта.

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
Бъдете социални
Още по темата
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
26/09/2024

Джо Гранд - пакостник, вред...

Джо Гранд – от „дивото“ дете...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!