Một lỗ hổng nghiêm trọng (CVE-2024-6386, CVSS 9.9) vừa được phát hiện trong plugin phổ biến WPML cho WordPress. Khai thác thành công lỗ hổng, người dùng với quyền truy cập vào trình chỉnh sửa bài đăng có thể thực thi mã độc từ xa trên máy chủ.
WPML là plugin được sử dụng rộng rãi trên WordPress, cho phép quản trị viên trang web quản lý bản dịch và tạo nội dung đa ngôn ngữ.
CVE-2024-6386 là lỗ hổng thực thi mã từ xa bắt nguồn từ vấn đề SSTI của Twig trong plugin WPML. Lỗ hổng ảnh hưởng đến tất cả các phiên bản lên đến 4.6.12.
Thông qua khai thác lỗ hổng, kẻ tấn công có thể giành toàn quyền kiểm soát một trang web, triển khai webshell và các công cụ độc hại khác để “nằm vùng”, đánh cắp dữ liệu hoặc phát động thêm các cuộc tấn công khác vào hệ thống.
Các nhà phát triển WPML đã phát hành phiên bản 4.6.13 để khắc phục lỗ hổng. Quản trị viên trang web được khuyến cáo khẩn trương cập nhật plugin WPML lên phiên bản mới nhất để giảm thiểu rủi ro bị khai thác, đặc biệt là khi PoC lỗ hổng đã được công bố.
Nguồn: Security Online