Se descubrió una vulnerabilidad crítica en el complemento WPML de WordPress que afecta a más de un millón de instalaciones. La vulnerabilidad permite que un atacante autenticado realice la ejecución remota de código, lo que podría llevar a una toma total del sitio. Está catalogado con una calificación de 9,9 sobre 10 según la organización Common Vulnerabilities and Exposures (CVE).

Vulnerabilidad del complemento WPML

La vulnerabilidad del complemento se debe a la falta de un control de seguridad llamado desinfección, un proceso para filtrar los datos de entrada del usuario para proteger contra la carga de archivos maliciosos. La falta de desinfección en esta entrada hace que el complemento sea vulnerable a una ejecución remota de código.

La vulnerabilidad existe dentro de una función de un código corto para crear un conmutador de idioma personalizado. La función procesa el contenido del shortcode en una plantilla de complemento pero sin desinfectar los datos, lo que los hace vulnerables a la inyección de código.

La vulnerabilidad afecta a todas las versiones del complemento WPML de WordPress hasta la 4.6.12 inclusive.

Cronología de la vulnerabilidad

Wordfence descubrió la vulnerabilidad a finales de junio y notificó de inmediato a los editores de WPML, que no respondieron durante aproximadamente un mes y medio, confirmando la respuesta el 1 de agosto de 2024.

Los usuarios de la versión paga de Wordfence recibieron protección ocho días después del descubrimiento de la vulnerabilidad, los usuarios gratuitos de Wordfence recibieron protección el 27 de julio.

Los usuarios del complemento WPML que no utilizaron ninguna de las versiones de Wordfence no recibieron protección de WPML hasta el 20 de agosto, cuando los editores finalmente publicaron un parche en la versión 4.6.13.

Se insta a los usuarios del complemento a actualizar

Wordfence insta a todos los usuarios del complemento WPML a asegurarse de que estén utilizando la última versión del complemento, WPML 4.6.13.

Ellos escribieron:

“Instamos a los usuarios a actualizar sus sitios con la última versión parcheada de WPML, la versión 4.6.13 en el momento de escribir este artículo, lo antes posible”.

Lea más sobre la vulnerabilidad en Wordfence:

1.000.000 de sitios de WordPress protegidos contra una vulnerabilidad única de ejecución remota de código en el complemento WPML de WordPress

Imagen destacada de Shutterstock/Luis Molinero