Ein kritischer Sicherheitsfehler wurde im mehrsprachigen WordPress-Plugin WPML offengelegt, der es authentifizierten Benutzern unter bestimmten Umständen ermöglichen könnte, beliebigen Code remote auszuführen.
Die Schwachstelle, die als CVE-2024-6386 verfolgt wird (CVSS-Score: 9,9), betrifft alle Versionen des Plugins vor 4.6.13, die am 20. August 2024 veröffentlicht wurde.
Aufgrund fehlender Eingabevalidierung und -bereinigung ist es möglich, dass authentifizierte Angreifer mit Contributor-Zugriff oder höher Code auf dem Server ausführen können.
WPML ist ein beliebtes Plugin, das für den Aufbau mehrsprachiger WordPress-Websites verwendet wird. Es hat über eine Million aktive Installationen.
Der Sicherheitsforscher stealthcopter, der CVE-2024-6386 entdeckt und gemeldet hat, sagte, dass das Problem in der Art und Weise liegt, wie das Plugin mit Shortcodes umgeht, die zum Einfügen von Beitragsinhalten wie Audio, Bildern und Videos verwendet werden.
„Insbesondere verwendet das Plugin Twig-Vorlagen zum Rendern von Inhalten in Shortcodes, kann jedoch die Eingabe nicht ordnungsgemäß bereinigen, was zu einer Server-Side Template Injection (SSTI) führt“, sagte der Forscher.
SSTI, wie der Name schon sagt, tritt auf, wenn ein Angreifer in der Lage ist, native Vorlagensyntax zu verwenden, um eine bösartige Nutzlast in eine Webvorlage einzuschleusen, die dann auf dem Server ausgeführt wird. Ein Angreifer könnte die Schwachstelle dann verwenden, um beliebige Befehle auszuführen, was ihm effektiv die Kontrolle über die Website ermöglicht.
„Diese WPML-Version behebt eine Sicherheitslücke, die es Benutzern mit bestimmten Berechtigungen ermöglichen könnte, nicht autorisierte Aktionen auszuführen“, teilten die Plugin-Betreuer von OnTheGoSystems mit. „Es ist unwahrscheinlich, dass dieses Problem in realen Szenarien auftritt. Es erfordert, dass Benutzer über Bearbeitungsberechtigungen in WordPress verfügen und die Website eine sehr spezifische Konfiguration verwendet.“
Benutzern des Plugins wird empfohlen, die neuesten Patches zu installieren, um potenziellen Bedrohungen zu begegnen.