Más de un millón de sitios web en riesgo de ser hackeados debido a un error en WPML

Más de un millón de sitios web en riesgo de ser hackeados debido a un error en WPML

Los usuarios del popular plugin corren el riesgo de perder el control sobre sus recursos.

image

Se ha descubierto una vulnerabilidad crítica en el popular plugin WPML para WordPress, que pone en peligro la seguridad de más de un millón de sitios web. El problema, relacionado con la ejecución remota de código (RCE), ha sido identificado como CVE-2024-6386 y ha recibido una calificación alta de peligro (CVSS 9.9).

Los expertos en ciberseguridad de Wordfence explican que la vulnerabilidad puede ser explotada por atacantes que tengan permisos de nivel contribuidor. El problema principal radica en la insuficiente validación de los datos de entrada al utilizar plantillas Twig para renderizar códigos cortos. Esto da lugar a una inyección de plantillas del lado del servidor (SSTI), lo que abre la puerta para la ejecución de código arbitrario.

El investigador independiente @stealhcopter, quien fue el primero en descubrir la vulnerabilidad, ya ha publicado un ejemplo de código que demuestra la posibilidad de explotar este problema para la ejecución remota de código (RCE). Según se informa, la vulnerabilidad podría llevar a la completa compromisión del sitio mediante web shells y otros métodos.

La vulnerabilidad CVE-2024-6386 fue solucionada en la versión 4.6.13 del plugin WPML, que fue lanzada el 20 de agosto de 2024. Se recomienda encarecidamente a los usuarios que actualicen el plugin a esta versión lo antes posible, dado que el código para explotar la vulnerabilidad ya está disponible públicamente.

Sin embargo, el desarrollador del plugin, la empresa OnTheGoSystems, intenta minimizar la gravedad del problema. Sus representantes afirman que la vulnerabilidad requiere ciertas condiciones para ser explotada, incluyendo que el usuario tenga permisos de edición, así como una configuración específica del sitio. También subrayan que la amenaza real de explotación de la vulnerabilidad es extremadamente baja.

WPML, posicionado como el plugin de traducción de sitios web más popular para WordPress, soporta más de 65 idiomas y ofrece una función de multimoneda. Según los datos del desarrollador, el plugin está instalado en más de un millón de sitios web.

¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?

Descubre cómo construir una muralla impenetrable