WordPress WPML Multilingual CMS plugin Remote Code Execution (RCE)

ISGroup Cybersecurity

Il plugin WPML Multilingual CMS per WordPress, utilizzato da oltre 1 milione di siti, è vulnerabile a una falla critica di tipo Remote Code Execution autenticata (RCE) sfruttabile da utenti con privilegi di Contributor o superiori tramite un’iniezione di template server-side (SSTI) nel motore Twig. Questa vulnerabilità interessa tutte le versioni fino alla 4.6.12.

Prodottositepress-multilingual-cms
Data2024-08-28 15:32:41

Riassunto tecnico

Il plugin WPML per WordPress è vulnerabile a una Remote Code Execution in tutte le versioni fino alla 4.6.12 inclusa, tramite un’iniezione di template server-side (SSTI) nel motore Twig. Questo è dovuto alla mancanza di validazione e sanitizzazione dell’input nella funzione render. Ciò permette ad attaccanti autenticati, con privilegi almeno di Contributor, di eseguire codice sul server.

Raccomandazioni

Aggiornare alla versione più recente disponibile.

Vuoi una Threat Intelligence realmente costruita sul tuo business?

Affidati a ISGroup per:

  • Demo personalizzata sui tuoi asset digitali
  • Assessment gratuito per valutare il rischio in 48h
  • Confronto diretto con un ethical hacker senior
Parla con un esperto di Threat Intelligence

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In