Le plugin WPML Multilingual CMS pour WordPress, utilisé par plus d’un million de sites, est vulnérable à une faille critique de type exécution de code à distance (RCE) authentifiée, exploitable par des utilisateurs disposant de privilèges de contributeur ou supérieurs via une injection de template côté serveur (SSTI) dans le moteur Twig. Cette vulnérabilité affecte toutes les versions jusqu’à la 4.6.12.
| Produit | sitepress-multilingual-cms |
| Date | 28-08-2024 15:32:41 |
Résumé technique
Le plugin WPML pour WordPress est vulnérable à une exécution de code à distance dans toutes les versions jusqu’à la 4.6.12 incluse, via une injection de template côté serveur (SSTI) dans le moteur Twig. Cela est dû à un manque de validation et de nettoyage des entrées dans la fonction render. Cela permet à des attaquants authentifiés, disposant au minimum de privilèges de contributeur, d’exécuter du code sur le serveur.
Recommandations
Mettre à jour vers la version la plus récente disponible.
[Callforaction-THREAT-Footer]
Leave a Reply