В плъгина WPML за WordPress е открита критична уязвимост, която засяга над един милион инсталации. Уязвимостта позволява на автентифициран нападател да извърши отдалечено изпълнение на код, което може да доведе до цялостно превземане на сайта. В списъка на организацията Common Vulnerabilities and Exposures (CVE) тя е с оценка 9,9 от 10.
Уязвимост на плъгина WPML
Уязвимостта на плъгина се дължи на липсата на проверка за сигурност, наречена sanitization – процес на филтриране на входните данни на потребителя с цел защита от качване на злонамерени файлове. Липсата на sanitization при този вход прави плъгина уязвим към Remote Code Execution (Изпълнение на отдалечен код).
Уязвимостта съществува във функция на кратък код за създаване на персонализиран превключвател на езици. Функцията визуализира съдържанието от шорткода в шаблона на плъгина, но без да обработва данните, което я прави уязвима за инжектиране на код.
Проблемът засяга всички версии на плъгина WPML за WordPress до версия 4.6.12 включително.
Хронология на уязвимостта
Wordfence откри уязвимостта в края на юни и незабавно уведоми издателите на WPML, които не реагираха в продължение на около месец и половина, като потвърдиха отговора си на 1 август 2024 г.
Потребителите на платената версия на Wordfence получиха защита осем дни след откриването на проблема, а безплатните потребители на Wordfence получиха защита на 27 юли.
Потребителите на плъгина WPML, които не са използвали нито една от версиите на Wordfence, не са получили защита от WPML до 20 август, когато издателите най-накрая издадоха кръпка във версия 4.6.13.
Потребителите на плъгини са призовани да го актуализират
Wordfence призовава всички потребители на плъгина WPML да се уверят, че използват най-новата версия на плъгина – WPML 4.6.13.
Те написаха:
„Призоваваме потребителите да актуализират сайтовете си възможно най-скоро с най-новата коригирана версия на WPML – версия 4.6.13 към момента на писане на тази статия.“