Badacze ds. bezpieczeństwa odkryli krytyczną lukę w zabezpieczeniach wtyczki WPML WordPress, obecnie zainstalowanej na ponad milionie stron internetowych, która stwarza poważne zagrożenie bezpieczeństwa. Luka oznaczona numerem CVE-2024-6386 i mająca ocenę CVSS wynoszącą 9,9 jest krytyczną luką umożliwiającą zdalne wykonanie kodu (RCE) i dotyczy wszystkich wersji wtyczki WPML do wersji 4.6.12.
Wada wynikała z braku weryfikacji i oczyszczania danych wejściowych
Wtyczka WPML, skrót od WordPress Multilingual, pozwala właścicielom witryn budować i zarządzać wielojęzycznymi witrynami. Nowo zidentyfikowana podatność wynika z niepowodzenia wtyczki w zakresie walidacji i oczyszczania danych wejściowych dotyczących jej funkcji renderowych.
Według stealthcopter „podatność leży w obsłudze krótkich kodów wtyczki WPML. Wtyczka używa szablonów Twig do renderowania treści w krótkich kodach, ale nie potrafi prawidłowo oczyścić danych wejściowych, co prowadzi do wstrzykiwania szablonów po stronie serwera (SSTI)”.
Firma Stealthcopter świadomie zgłosiła lukę w ramach programu Wordfence Bug Bounty Program i otrzymała nagrodę w wysokości 1639,00 USD za swoje odkrycie.
Dalsze implikacje i znaczenie walidacji danych wejściowych
Stealthcopter szerzej skomentował konsekwencje takich luk, podkreślając znaczenie rygorystycznej walidacji danych wejściowych.
„Ta luka w zabezpieczeniach jest klasycznym przykładem niebezpieczeństw związanych z nieprawidłową dezynfekcją danych wejściowych w silnikach szablonów” — powiedział badacz. „Programiści powinni zawsze dezynfekować i weryfikować dane wejściowe użytkowników, zwłaszcza w przypadku dynamicznego renderowania treści”.
Z drugiej strony OnTheGoSystems, twórca podatnej na ataki wtyczki, uważa, że musiałyby zaistnieć szczególne okoliczności aby atakujący wykorzystali tę lukę.
Po opublikowaniu poprawki eliminującej lukę w zabezpieczeniach firma stwierdziła, że problem „prawdopodobnie nie wystąpi w rzeczywistych scenariuszach”, dodając, że sprawcy musieliby mieć „uprawnienia do edycji w WordPressie” i korzystać ze strony o „bardzo specyficznej konfiguracji”.
Administratorzy witryny proszeni o aktualizację wersji wtyczek, których dotyczy problem
– W związku z rozwojem tej sytuacji administratorom WordPress gorąco zaleca się ocenę swoich witryn oraz upewnienie się, że wszystkie środki bezpieczeństwa są aktualne, aby chronić je przed tą i innymi lukami w zabezpieczeniach. Warto także zadbać o cyberbezpieczeństwo urządzeń, które są wykorzystywane do obsługiwania kont WordPress i zabezpieczyć je za pomocą skutecznego systemu antywirusowego – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.