Populārajā WPML spraudnī, kas paredzēts WordPress, ir atklāta kritiska ievainojamība, kas vairāk nekā miljonam tīmekļa vietņu rada apdraudējumu. Problēma, kas ietver attālinātu koda izpildi (RCE), ir apzīmēta kā CVE-2024-6386 un tai piešķirts augsts apdraudējuma novērtējums (CVSS 9.9).
Kibernētikas eksperti Wordfence paskaidro, ka šo ievainojamību var izmantot uzbrucēji ar ieguldītāja līmeņa tiesībām. Galvenā problēma ir nepietiekama ievades validācija, izmantojot Twig veidnes, lai atveidotu īsos kodus. Tas noved pie servera puses šablona injekcijas (SSTI), kas paver ceļu patvaļīgai koda izpildei.
Neatkarīgais pētnieks @stealhcopter, kurš pirmais atklāja šo ievainojamību, jau ir publicējis koda paraugu, kas apstiprina, ka šo problēmu var izmantot RCE. Tiek ziņots, ka šī ievainojamība var novest pie pilnīgas tīmekļa vietnes kompromitēšanas, izmantojot tīmekļa čaulas un citas metodes.
CVE-2024-6386 tika novērsta WPML spraudņa 4.6.13 versijā, kas tika izdota 2024. gada 20. augustā. Lietotājiem tiek stingri ieteikts pēc iespējas ātrāk atjaunināt spraudni līdz šai versijai, ņemot vērā, ka šīs ievainojamības izmantošanas kods jau ir publiski pieejams.
Tomēr spraudņa izstrādātājs OnTheGoSystems cenšas mazināt problēmas nozīmi. Tā pārstāvji apstiprina, ka ievainojamības izmantošanai ir nepieciešami noteikti nosacījumi, tostarp lietotājam ir rediģēšanas tiesības un īpaša vietnes konfigurācija. Viņi arī uzsver, ka faktiskie ievainojamības izmantošanas draudi ir ārkārtīgi mazi.
WPML, kas tiek uzskatīts par populārāko tīmekļa vietņu tulkošanas spraudni WordPress, atbalsta vairāk nekā 65 valodas un piedāvā vairāku valūtu funkciju. Saskaņā ar izstrādātāja datiem spraudnis ir instalēts vairāk nekā miljons vietņu.
Lasīt vairāk: https://www.securitylab.ru/news/551538.php
Ja esat atklājis pareizrakstības kļūdu, lūdzu, paziņojiet mums, izvēloties šo tekstu un nospiežot Ctrl+Enter.