WordPress WPML Multilingual CMS plugin Remote Code Execution (RCE)

Il plugin WPML Multilingual CMS per WordPress, utilizzato da oltre 1 milione di siti, è vulnerabile a una falla critica di tipo Remote Code Execution autenticata (RCE) sfruttabile da utenti con privilegi di Contributor o superiori tramite un’iniezione di template server-side (SSTI) nel motore Twig. Questa vulnerabilità interessa tutte le versioni fino alla 4.6.12.

Prodotto sitepress-multilingual-cms
Data 2024-08-28 15:32:41

Riassunto tecnico

Il plugin WPML per WordPress è vulnerabile a una Remote Code Execution in tutte le versioni fino alla 4.6.12 inclusa, tramite un’iniezione di template server-side (SSTI) nel motore Twig. Questo è dovuto alla mancanza di validazione e sanitizzazione dell’input nella funzione render. Ciò permette ad attaccanti autenticati, con privilegi almeno di Contributor, di eseguire codice sul server.

Raccomandazioni

Aggiornare alla versione più recente disponibile.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In