Se ha descubierto una vulnerabilidad CRÍTICA en el plugin WPML para WordPress, identificado como CVE-2024-6386 y con una puntuación CVSS: 9.9, esta vulnerabilidad permite la ejecución remota de código (RCE) a través de una inyección de plantillas del lado del servidor (SSTI) en Twig (motor de plantillas).
WPML (WordPress Multilingual Plugin) es un complemento premium para WordPress que facilita la creación y gestión de sitios web en múltiples idiomas. Permite traducir contenido como publicaciones, páginas, y menús, y es compatible con la mayoría de los temas y plugins.
La vulnerabilidad se encuentra en el manejo de códigos cortos dentro del plugin WPML. El plugin utiliza plantillas Twig para representar el contenido en códigos cortos, pero no valida ni desinfecta adecuadamente la entrada proporcionada, lo que permite la inyección de código malicioso. Los atacantes autenticados con permisos de nivel de colaborador o superior pueden explotar esta falla para ejecutar código en el servidor.
Productos y versiones afectadas:
- Plugin WPML en versiones anteriores a la 4.6.13.
Solución:
- Parche de seguridad disponible en la versión 4.6.13 del complemento WPML.
Recomendaciones:
- Actualizar el plugin WPML a la versión 4.6.13 o una versión parcheada más reciente.
- Revisar los registros de acceso y errores del servidor para detectar posibles intentos de explotación.
- Considerar implementar medidas de seguridad adicionales, como la restricción de permisos de usuario, para reducir el riesgo de explotación futura.
Referencias: