Un defect în pluginul WPML a expus peste un milion de site-uri WordPress la atacuri de execuție de cod de la distanță (Remote Code Execution - RCE). Hackerii pot prelua complet controlul unui site web vulnerabil, iar echipa WPML a lansat un patch pentru a remedia problema.
TL;DR
- Defect în pluginul WPML pentru WordPress
- Peste un milion de site-uri expuse
- Atacurile pot duce la preluarea completă a site-ului
- Echipa WPML a lansat un patch
Vulnerabilitatea WPML
Pluginul WPML (WordPress Multilingual) pentru WordPress prezintă o vulnerabilitate gravă care permite atacatorilor să execute cod de la distanță (RCE). Acest defect afectează toate versiunile pluginului până la versiunea 4.6.12 inclusiv. Hackerii pot folosi această vulnerabilitate pentru a prelua controlul complet al unui site.
Cum funcționează defectul
Vulnerabilitatea se află în funcția render()
a clasei WPML_LS_Public_API, care procesează șabloanele utilizatorului prin Twig, un motor popular de template-uri. Lipsa validării inputului permite atacatorilor să injecteze și să execute cod rău intenționat.
Impactul asupra utilizatorilor
Hackerii pot folosi shortcode-uri precum [wpml_language_switcher]
pentru a injecta cod Twig care execută funcții PHP, cum ar fi phpinfo()
, dezvăluind informații sensibile ale serverului. Acest lucru ar putea duce la exploatări mult mai dăunătoare.
Cum să vă protejați
Utilizatorii sunt sfătuiți să actualizeze imediat pluginul WPML la versiunea 4.6.13 sau mai recentă. Este esențial să mențineți toate pluginurile și temele WordPress actualizate pentru a reduce riscul de vulnerabilități. Practicile de securitate robuste și monitorizarea continuă sunt cheia pentru a preveni astfel de atacuri.
„Aceasta este o vulnerabilitate critică cu un scor CVSS de 9.9 și trebuie abordată urgent“, a declarat un expert în securitate.
Sursa articolului:
https://cybersecuritynews.com/wordpress-plugin-flaw-exposes/