El plugin WPML Multilingual CMS para WordPress, utilizado por más de 1 millón de sitios, es vulnerable a un fallo crítico de tipo Ejecución Remota de Código (RCE) autenticada, explotable por usuarios con privilegios de Colaborador o superiores mediante una inyección de plantilla del lado del servidor (SSTI) en el motor Twig. Esta vulnerabilidad afecta a todas las versiones hasta la 4.6.12.
| Producto | sitepress-multilingual-cms |
| Fecha | 2024-08-28 15:32:41 |
Resumen técnico
El plugin WPML para WordPress es vulnerable a una Ejecución Remota de Código en todas las versiones hasta la 4.6.12 inclusive, mediante una inyección de plantilla del lado del servidor (SSTI) en el motor Twig. Esto se debe a la falta de validación y sanitización de la entrada en la función render. Esto permite a atacantes autenticados, con privilegios de al menos Colaborador, ejecutar código en el servidor.
Recomendaciones
Actualizar a la versión más reciente disponible.
[Callforaction-THREAT-Footer]