Das Plugin WPML Multilingual CMS für WordPress, das auf über 1 Million Websites eingesetzt wird, ist anfällig für eine kritische, authentifizierte Remote Code Execution (RCE)-Schwachstelle. Diese kann von Benutzern mit der Rolle „Mitarbeiter“ (Contributor) oder höher durch eine serverseitige Template-Injektion (SSTI) in der Twig-Engine ausgenutzt werden. Die Schwachstelle betrifft alle Versionen bis einschließlich 4.6.12.
| Produkt | sitepress-multilingual-cms |
| Datum | 28.08.2024 15:32:41 |
Technische Zusammenfassung
Das WPML-Plugin für WordPress ist in allen Versionen bis einschließlich 4.6.12 anfällig für eine Remote Code Execution mittels serverseitiger Template-Injektion (SSTI) in der Twig-Engine. Dies ist auf eine fehlende Validierung und Bereinigung der Eingaben in der render-Funktion zurückzuführen. Dies ermöglicht es authentifizierten Angreifern mit mindestens Mitarbeiter-Privilegien, Code auf dem Server auszuführen.
Empfehlungen
Aktualisieren Sie auf die neueste verfügbare Version.
[Callforaction-THREAT-Footer]
Leave a Reply