یک نقص امنیتی حیاتی با شناسه CVE-2024-6386 و امتیاز CVSS: 9.9، در پلاگین چند زبانه WPML وردپرس فاش شده است که میتواند امکان اجرای کد دلخواه از راه دور را تحت شرایط خاص برای کاربران تأیید شده فراهم کند.
نقص امنیتی مذکور به دلیل فقدان اعتبارسنجی ورودی و پاکسازی، امکان اجرای کد روی سرور را برای مهاجمان احراز هویت شده با دسترسی در سطح Contributor و بالاتر فراهم میسازد. به طور خاص، این پلاگین از قالبهای Twig برای ارائه محتوا در کدهای کوتاه استفاده میکند، اما ورودی را به درستی پاک نمیکند که منجر به تزریق قالب سمت سرور (SSTI) میشود.
این آسیبپذیری تمامی نسخههای پلاگین WPML را قبل از 4.6.13 که در 20 آگوست 2024 منتشر شد، تحت تأثیر قرار میدهد. به کاربران این افزونه توصیه شده است که به منظور کاهش تهدیدات احتمالی آخرین وصلهها را اعمال کنند.
https://thehackernews.com/2024/08/critical-wpml-plugin-flaw-exposes.html
