Más de un millón de sitios web en riesgo de ser hackeados debido a un error en WPML

Eventos WPML OnTheGoSystems CVE-2024-6386 RCE WordPress Wordfence Stealhcopter
Más de un millón de sitios web en riesgo de ser hackeados debido a un error en WPML
Eventos WPML OnTheGoSystems CVE-2024-6386 RCE WordPress Wordfence Stealhcopter

Los usuarios del popular plugin corren el riesgo de perder el control sobre sus recursos.

image

Se ha descubierto una vulnerabilidad crítica en el popular plugin WPML para WordPress, que pone en peligro la seguridad de más de un millón de sitios web. El problema, relacionado con la ejecución remota de código (RCE), ha sido identificado como CVE-2024-6386 y ha recibido una calificación alta de peligro (CVSS 9.9).

Los expertos en ciberseguridad de Wordfence explican que la vulnerabilidad puede ser explotada por atacantes que tengan permisos de nivel contribuidor. El problema principal radica en la insuficiente validación de los datos de entrada al utilizar plantillas Twig para renderizar códigos cortos. Esto da lugar a una inyección de plantillas del lado del servidor (SSTI), lo que abre la puerta para la ejecución de código arbitrario.

El investigador independiente @stealhcopter, quien fue el primero en descubrir la vulnerabilidad, ya ha publicado un ejemplo de código que demuestra la posibilidad de explotar este problema para la ejecución remota de código (RCE). Según se informa, la vulnerabilidad podría llevar a la completa compromisión del sitio mediante web shells y otros métodos.

La vulnerabilidad CVE-2024-6386 fue solucionada en la versión 4.6.13 del plugin WPML, que fue lanzada el 20 de agosto de 2024. Se recomienda encarecidamente a los usuarios que actualicen el plugin a esta versión lo antes posible, dado que el código para explotar la vulnerabilidad ya está disponible públicamente.

Sin embargo, el desarrollador del plugin, la empresa OnTheGoSystems, intenta minimizar la gravedad del problema. Sus representantes afirman que la vulnerabilidad requiere ciertas condiciones para ser explotada, incluyendo que el usuario tenga permisos de edición, así como una configuración específica del sitio. También subrayan que la amenaza real de explotación de la vulnerabilidad es extremadamente baja.

WPML, posicionado como el plugin de traducción de sitios web más popular para WordPress, soporta más de 65 idiomas y ofrece una función de multimoneda. Según los datos del desarrollador, el plugin está instalado en más de un millón de sitios web.

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!

Noticias sobre el tema

SDP: el arma secreta de los gigantes de TI para proteger la infraestructura crítica

WikiLeaks vs Islandia: la negativa a alquilar una oficina provocó una ciberguerra con las autoridades

Flipper Zero recibió una importante actualización de firmware

¿Genio o tonto? Por qué Elon Musk está desestabilizando la democracia estadounidense

"Ojos" chinos en los puertos estadounidenses: ¿qué esconden los módems indocumentados?

WordPress declara la guerra a los hackers: las contraseñas 2FA y SVN serán obligatorias

IA contra humanos: la red neuronal se convierte en herramienta de acoso y humillación

La élite de los hackers está alarmada: XSS.is vende acceso verificado a materiales

De los ciberataques al abuso infantil: lo que esconden los miembros de Scattered Spider