WPML es una de las herramientas más utilizadas para crear sitios multilingües en WordPress, con más de un millón de instalaciones activas. Sin embargo, según informa The Hacker News, un investigador de seguridad conocido como stealthcopter ha descubierto un grave fallo de seguridad en el complemento, que afecta a todas las versiones anteriores a la 4.6.13, lanzada el 20 de agosto de 2024. Este problema, que ha obtenido una puntuación CVSS de 9,9, se origina debido a la falta de validación y desinfección de entradas, lo que permite a atacantes autenticados, con permisos de colaborador o superiores, ejecutar código en el servidor.
El fallo se relaciona con el manejo de los códigos cortos (shortcodes) utilizados por WPML para insertar contenido multimedia como audio, imágenes y videos. De acuerdo con The Hacker News, el complemento emplea plantillas Twig para representar el contenido de estos códigos cortos, pero no logra desinfectar adecuadamente las entradas. Este descuido provoca una inyección de plantilla del lado del servidor (SSTI), que puede ser explotada por atacantes para inyectar cargas maliciosas en una plantilla web, ejecutándose luego en el servidor.
La gravedad del fallo radica en que permite a los atacantes ejecutar comandos arbitrarios, lo que les otorga el control total del sitio web comprometido. "Esta vulnerabilidad de seguridad podría permitir a los usuarios con ciertos permisos realizar acciones no autorizadas", afirmó OnTheGoSystems, la empresa responsable del mantenimiento de WPML, en un comunicado publicado en su sitio oficial.
No obstante, OnTheGoSystems también destacó que es poco probable que esta vulnerabilidad se explote en situaciones del mundo real, ya que requiere una configuración específica y que los usuarios tengan permisos de edición en WordPress. A pesar de ello, la recomendación para los administradores de sitios web es aplicar los parches más recientes para mitigar cualquier posible amenaza.
La versión 4.6.13 de WPML, lanzada como respuesta a este fallo de seguridad, corrige la vulnerabilidad y mejora otros aspectos de seguridad del complemento. "Es crucial que todos los usuarios actualicen sus instalaciones a la última versión para asegurar sus sitios contra posibles ataques", subrayó The Hacker News, citando la importancia de mantenerse al día con las actualizaciones de seguridad.
Este incidente ha puesto de manifiesto la necesidad de una vigilancia constante en la gestión de la seguridad de los sitios web, especialmente en plataformas tan ampliamente utilizadas como WordPress. Con millones de sitios web que dependen de complementos de terceros como WPML, una vulnerabilidad de esta magnitud puede tener consecuencias devastadoras si no se aborda rápidamente. La comunidad de WordPress, una vez más se enfrenta a un serio desafío de seguridad con la vulnerabilidad CVE-2024-6386 en WPML. Los administradores de sitios deben actuar con rapidez para actualizar el complemento y evitar posibles compromisos. Mientras tanto, la investigación y los informes de expertos en seguridad como stealthcopter continúan siendo fundamentales para la protección de la infraestructura digital global.
Comentar esta noticia