image

Kritiek RCE-lek in WPML WordPressplug-in met één miljoen installaties

dinsdag 27 augustus 2024, 10:15 door Redactie, 1 reacties

Een kritieke kwetsbaarheid in WPML, een plug-in voor WordPress-sites met meer dan één miljoen installaties, maakt het mogelijk om kwetsbare websites op afstand over te nemen. De impact van de kwetsbaarheid (CVE-2024-6386) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Op 20 augustus is een update voor de plug-in verschenen en nu zijn de details van de kwetsbaarheid openbaar gemaakt.

WPML is een plug-in die WordPress-sites meertalig maakt. Meer dan één miljoen websites maken er gebruik van. Door onvoldoende invoervalidatie is server-side template injection mogelijk, wat kan leiden tot remote code execution. Daarmee is het mogelijk om de website volledig over te nemen, aldus securitybedrijf Wordfence. Om misbruik van de aanval te maken moet een aanvaller wel geauthenticeerde toegang tot de post editor hebben.

Wordfence zegt dat het de ontwikkelaar van de plug-in op 27 juni informeerde. Er kwam geen reactie, waarop op 7 juli een tweede poging werd gedaan. Wederom kwam er geen reactie, waarop op 29 juli een derde poging volgde. Uiteindelijk verscheen op 20 augustus versie 4.6.13 waarin het probleem is verholpen. WPML is een betaalde plug-in, er zijn dan ook geen cijfers beschikbaar van het aantal installaties dat is bijgewerkt of niet, zoals bij plug-ins het geval is die direct via WordPress.org worden aangeboden. Beheerders krijgen het advies om zo snel mogelijk te updaten.

Reacties (1)
27-08-2024, 14:53 door wim-bart
Wanneer er drie interacties nodig zijn met een ontwikkelaar, die het product betaald beschikbaar stelt. Een 9.9/10 risico heeft. En pas na een 3e waarschuwing met een update komt. Is een reden om het product niet meer te gebruiken. Daarnaast zou ik de ontwikkelaar gewoon aansprakelijk willen stellen wanneer je site is gecompromitteerd is tussen 2e melding en patch.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.