WPML WordPress 插件中发现了一个严重漏洞,影响了超过一百万个安装。该漏洞允许经过身份验证的攻击者执行远程代码执行,可能导致整个网站被接管。通用漏洞和暴露 (CVE) 组织将其评级为 9.9 分(满分 10 分)。
WPML插件漏洞
该插件漏洞是由于缺少一种称为清理的安全检查而造成的,清理是一种过滤用户输入数据以防止上传恶意文件的过程。这种输入缺乏清理使得该插件容易受到远程代码执行的攻击。
该漏洞存在于创建自定义语言切换器的短代码函数中。该函数将短代码中的内容渲染到插件模板中,但未对数据进行清理,因此容易受到代码注入攻击。
该漏洞影响WPML WordPress 插件的所有版本,直至 4.6.12 版本。
漏洞时间线
Wordfence 在 6 月底发现了该漏洞,并及时通知了 WPML 出版商,WPML 在大约一个半月的时间里没有响应,直到 2024 年 8 月 1 日才确认有响应。
Wordfence 付费版用户在发现漏洞八天后得到保护,Wordfence 免费用户则于 7 月 27 日得到保护。
未使用 Wordfence 任何版本的 WPML 插件用户直到 8 月 20 日才收到 WPML 的保护,当时出版商最终发布了 4.6.13 版本的补丁。
敦促插件用户更新
Wordfence 敦促所有 WPML 插件用户确保他们使用的是最新版本的插件,WPML 4.6.13。
他们写道:
“我们敦促用户尽快使用最新修补版本的WPML(撰写本文时的版本为4.6.13)更新其网站。”