WPMLプラグインにコード実行の脆弱性が見つかる 100万以上のWordPressサイトにインストール済み(CVE-2024-6386)
SecurityWeek – August 27, 2024
WordPressプラグイン「WPML」に存在する深刻度の高い脆弱性により、リモートの攻撃者がサーバー上で任意のコードを実行する恐れがある。
WPMLはWordPressサイトにおける最も人気の翻訳プラグインとして宣伝されているもので、65以上の言語と多通貨機能をサポートしている。開発者によると、同プラグインは100万以上のWebサイトにインストールされているという。
問題を報告した研究者によれば、この脆弱性CVE-2024-6386(CVSSスコア:9.9)はサーバーサイドテンプレートインジェクション(SSTI)の脆弱性で、「寄稿者(contributor)」レベルの権限を持つ攻撃者に悪用される可能性があるとのこと。WPMLはショートコードでコンテンツをレンダリングするためにTwigテンプレートを使っているが、入力値を適切にサニタイズしないためにSSTIが引き起こされる、と研究者は指摘している。
またDefiant社によると、すべてのリモートコード実行の脆弱性と同様に、この脆弱性を悪用する際にWebシェルやその他の技術を使うことで、サイトが全面的に侵害される可能性があるという。
CVE-2024-6386は、今月20日にリリースされたバージョン4.6.13で修正された。当該プラグインのメンテナーOnTheGoSystemsは、この脆弱性が悪用される可能性は低いなどとして深刻さを軽視しているようだが、同脆弱性を標的にしたPoCコードも公開されているため、ユーザーはできるだけ早くこの最新バージョンにアップデートすることが推奨されている。