WPML WordPress çok dilli eklentisinde, kimliği doğrulanmış kullanıcıların belirli koşullar altında uzaktan keyfi kod çalıştırmasına izin verebilecek kritik bir güvenlik açığı ortaya çıkarıldı.
CVE-2024-6386 (CVSS puanı: 9.9) olarak izlenen güvenlik açığı, 20 Ağustos 2024’te yayınlanan 4.6.13 sürümünden önceki tüm eklenti sürümlerini etkiliyor.
Eksik giriş doğrulaması ve temizliğinden kaynaklanan sorun, Katkıda Bulunan düzeyinde ve üzeri erişime sahip kimliği doğrulanmış saldırganların sunucuda kod yürütmesine olanak sağlıyor.
WPML, çok dilli WordPress siteleri oluşturmak için kullanılan popüler bir eklentidir. Bir milyondan fazla aktif kurulumu vardır.
CVE-2024-6386’yı keşfeden ve bildiren güvenlik araştırmacısı stealthcopter, sorunun eklentinin ses, resim ve video gibi içerikleri eklemek için kullanılan kısa kodları işleme biçiminden kaynaklandığını söyledi.
Araştırmacı, “Eklenti, özellikle kısa kodlardaki içerikleri oluşturmak için Twig şablonlarını kullanıyor ancak girdiyi düzgün bir şekilde temizleyemiyor ve bu da sunucu taraflı şablon enjeksiyonuna (SSTI) yol açıyor” dedi.
Adından da anlaşılacağı gibi SSTI, bir saldırganın yerel şablon sözdizimini kullanarak bir web şablonuna kötü amaçlı bir yük enjekte edebildiği ve ardından bunun sunucuda yürütüldüğü zaman meydana gelir. Bir saldırgan daha sonra bu eksikliği keyfi komutları yürütmek için silah olarak kullanabilir ve böylece sitenin kontrolünü ele geçirebilir.
Eklenti yöneticileri OnTheGoSystems, “Bu WPML sürümü, belirli izinlere sahip kullanıcıların yetkisiz eylemler gerçekleştirmesine izin verebilecek bir güvenlik açığını gideriyor” dedi. “Bu sorunun gerçek dünya senaryolarında ortaya çıkması pek olası değil. Kullanıcıların WordPress’te düzenleme izinlerine sahip olması ve sitenin çok özel bir kurulum kullanması gerekiyor.”
Eklentiyi kullananlara, olası tehditlere karşı önlem almak için en son yamaları uygulamaları önerilir.