В плагине WPML для WordPress была обнаружена критическая уязвимость, затронувшая более миллиона установок. Уязвимость позволяет злоумышленнику, прошедшему аутентификацию, выполнить удаленное выполнение кода, что потенциально может привести к полному захвату сайта. По версии организации Common Vulnerabilities and Exposures (CVE), у этой дыры 9,9 баллов из 10 возможных.
Уязвимость плагина WPML
Уязвимость плагина связана с отсутствием проверки безопасности, называемой очисткой, — процесса фильтрации вводимых пользователем данных для защиты от загрузки вредоносных файлов. Отсутствие очистки при вводе данных делает плагин уязвимым для удаленного выполнения кода.
Уязвимость существует в функции шорткода для создания пользовательского языкового переключателя. Функция преобразует содержимое шорткода в шаблон плагина, но без очистки данных, что делает его уязвимым для внедрения кода.
Уязвимость затрагивает все версии плагина WPML для WordPress до версии 4.6.12 включительно.
Хронология уязвимости
Wordfence обнаружила уязвимость в конце июня и незамедлительно уведомила об этом издателей WPML, которые не отвечали на запросы около полутора месяцев, подтвердив ответ 1 августа 2024 года.
Пользователи платной версии Wordfence получили защиту через восемь дней после обнаружения уязвимости, бесплатные пользователи Wordfence получили защиту 27 июля.
Пользователи плагина WPML, которые не использовали ни одну из версий Wordfence, не получали защиту от WPML до 20 августа, когда издатели, наконец, выпустили патч версии 4.6.13.
Пользователей плагина призвали обновить
Wordfence настоятельно рекомендует всем пользователям плагина WPML убедиться, что они используют последнюю версию плагина, WPML 4.6.13.
Они написали:
“Мы настоятельно рекомендуем пользователям как можно скорее обновить свои сайты до последней исправленной версии WPML, версии 4.6.13 на момент написания этой статьи”.