Se ha Descubierto una Vulnerabilidad en WPML, Popular Plugin Multilingüe de WordPress

Image from Pickpik

Se ha Descubierto una Vulnerabilidad en WPML, Popular Plugin Multilingüe de WordPress

Tiempo de lectura: 2 min.

El WPML, una herramienta popular para crear sitios web multilingües en WordPress, ha sido encontrada vulnerable a ciberataques, tal como informó Cybernews hoy. Este fallo de seguridad, descubierto por la investigadora de seguridad “stealthcopter“, podría permitir a los atacantes ejecutar código remotamente en sitios web vulnerables.

Cybernews señala que WPML, con más de un millón de instalaciones activas, es un plugin ampliamente utilizado para gestionar traducciones y cambio de idiomas en sitios WordPress. Sin embargo, la investigadora informó que el manejo de ciertos tipos de contenido por parte del plugin era susceptible a ataques de inyección de plantillas del lado del servidor.

Al explotar esta vulnerabilidad, los atacantes podrían obtener acceso no autorizado al servidor de un sitio web y robar información sensible, como contraseñas, datos de usuarios y otra información confidencial.

“La carga útil diseñada utiliza la función de volcado para reunir las letras necesarias para construir comandos sin usar comillas. Una vez que tenemos ejecución básica de comandos, podemos aprovecharla aún más para obtener más control sobre el servidor”, dijo la investigadora en su informe.

La investigadora demostró la vulnerabilidad ejecutando con éxito un código corto malicioso dentro del editor de WordPress. Aunque la creación de comandos complejos pueda requerir soluciones adicionales, las posibles consecuencias de un ataque exitoso son graves.

Este incidente subraya que la seguridad es un proceso continuo, que exige vigilancia en todas las etapas de desarrollo y manejo de datos.

La investigadora concluye que esta vulnerabilidad pone de manifiesto los riesgos de una sanitización de entrada inadecuada en los motores de plantillas. Aconseja que los desarrolladores deben sanitizar y validar constantemente las entradas de los usuarios, particularmente cuando se renderiza contenido dinámico.

Stealthcopter informó de esta vulnerabilidad a través del Programa de Recompensas por Errores de Wordfence y recibió una recompensa de $1,639.00, como señaló Wordfence. Wordfence afirma que esta vulnerabilidad ha sido abordada en la versión 4.6.13 de WPML, y aconseja encarecidamente a los usuarios que actualicen sus sitios a la última versión parcheada tan pronto como sea posible.

¿Te ha gustado este artículo?
¡Puntúalo!
No me ha gustado nada No me gusta Ha estado bien ¡Muy bueno! ¡Me ha encantado!

¡Nos alegra que te guste nuestro trabajo!

Eres importante para nosotros, por eso, nos gustaría que nos dejaras una opinión en Trustpilot, ¿te animas? Se tarda muy poco y significa mucho para nosotros. ¡Gracias por todo!

Valóranos en Trustpilot
0 Votado por 0 usuarios
Título
Comentar
Gracias por tu opinión
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Dejar un comentario

Loader
Loader Ver más