Een kritieke kwetsbaarheid in WPML, een plug-in voor WordPress-sites met meer dan één miljoen installaties, maakt het mogelijk om kwetsbare websites op afstand over te nemen. De impact van de kwetsbaarheid (CVE-2024-6386) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Op 20 augustus is een update voor de plug-in verschenen en nu zijn de details van de kwetsbaarheid openbaar gemaakt.

WPML is een plug-in die WordPress-sites meertalig maakt. Meer dan één miljoen websites maken er gebruik van. Door onvoldoende invoervalidatie is server-side template injection mogelijk, wat kan leiden tot remote code execution. Daarmee is het mogelijk om de website volledig over te nemen, aldus securitybedrijf Wordfence. Om misbruik van de aanval te maken moet een aanvaller wel geauthenticeerde toegang tot de post editor hebben.

Wordfence zegt dat het de ontwikkelaar van de plug-in op 27 juni informeerde. Er kwam geen reactie, waarop op 7 juli een tweede poging werd gedaan. Wederom kwam er geen reactie, waarop op 29 juli een derde poging volgde. Uiteindelijk verscheen op 20 augustus versie 4.6.13 waarin het probleem is verholpen. WPML is een betaalde plug-in, er zijn dan ook geen cijfers beschikbaar van het aantal installaties dat is bijgewerkt of niet, zoals bij plug-ins het geval is die direct via WordPress.org worden aangeboden. Beheerders krijgen het advies om zo snel mogelijk te updaten.