Uma vulnerabilidade crítica no plugin WPML para WordPress, que permite a execução de código remoto por usuários autenticados em determinadas condições, foi recentemente revelada. Essa falha é designada como CVE-2024-6386, com uma pontuação CVSS de 9,9, e afeta versões do plugin até a 4.6.12. A atualização de segurança 4.6.13 foi lançada em 20 de agosto de 2024 e é recomendada para todos os usuários.
O WPML, com mais de um milhão de instalações, é um dos plugins mais utilizados para criação de sites WordPress multilíngues. O erro foi descoberto pelo pesquisador stealthcopter e está relacionado ao manuseio inadequado de códigos de acesso por parte do plugin, que não realiza a higienização adequada dos dados de entrada. Isso poderia levar a uma injeção de modelo do lado do servidor (SSTI), permitindo que um atacante executasse comandos maliciosos e potencialmente assumisse o controle do site.
Os mantenedores do plugin, OnTheGoSystems, reconheceram a falha e apontaram que, apesar da baixa probabilidade de exploração em uso normal, o risco existe para usuários com certas permissões de edição e configurações específicas no site. Para prevenir quaisquer ameaças, aconselha-se a instalação imediata dos patches mais recentes.
Mantenha-se atualizado com as últimas notícias de segurança seguindo-nos no Twitter e no LinkedIn. Não perca também as futuras publicações do TecMania para se manter bem informado.
