Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Una vulnerabilidad crítica CVE-2024-6386 ha sido descubierta en el complemento multilingüe WPML para WordPress, con una puntuación CVSS de 9,9. Este fallo afecta a todas las versiones anteriores a la 4.6.13, lanzada el 20 de agosto de 2024, y permite a atacantes autenticados con permisos de colaborador o superiores ejecutar código arbitrario en el servidor. El problema se origina por la falta de validación de entradas en los códigos cortos del complemento, lo que lleva a una inyección de plantilla del lado del servidor (SSTI).
El investigador de seguridad "stealthcopter" descubrió que el complemento utiliza plantillas Twig para renderizar contenido, pero no desinfecta adecuadamente la entrada, permitiendo potencialmente que un atacante ejecute comandos maliciosos y tome control del sitio. Se recomienda a los usuarios de WPML que actualicen a la versión más reciente para protegerse contra esta vulnerabilidad.
Recurso afectado
Versiones del plugin <= 4.6.12
Solución
Actualizar a la versión 4.6.13 o superior
Recomendaciones
Tener habilitadas las actualizaciones automáticas de plugins en WordPress
Referencias