Une vulnérabilité critique a été découverte dans le plugin WordPress WPML, affectant plus d'un million d'installations. Cette vulnérabilité permet à un attaquant authentifié d'exécuter du code à distance, ce qui peut conduire à une prise de contrôle totale du site. Elle est classée 9,9 sur 10 par l'organisation Common Vulnerabilities and Exposures (CVE).
Vulnérabilité du plugin WPML
La vulnérabilité du plug-in est due à l'absence d'un contrôle de sécurité appelé nettoyage, un processus de filtrage des données saisies par l'utilisateur pour se protéger contre le téléchargement de fichiers malveillants. L'absence de nettoyage dans cette entrée rend le plug-in vulnérable à une exécution de code à distance.
La vulnérabilité existe dans une fonction d'un shortcode permettant de créer un sélecteur de langue personnalisé. La fonction restitue le contenu du shortcode dans un modèle de plug-in, mais sans assainir les données, ce qui la rend vulnérable à l'injection de code.
La vulnérabilité affecte toutes les versions du plugin WordPress WPML jusqu'à la version 4.6.12 incluse.
Chronologie de la vulnérabilité
Wordfence a découvert la vulnérabilité fin juin et a rapidement informé les éditeurs de WPML qui sont restés sans réponse pendant environ un mois et demi, confirmant la réponse le 1er août 2024.
Les utilisateurs de la version payante de Wordfence ont reçu une protection huit jours après la découverte de la vulnérabilité, les utilisateurs gratuits de Wordfence ont reçu une protection le 27 juillet.
Les utilisateurs du plugin WPML qui n'utilisaient aucune des deux versions de Wordfence n'ont pas reçu de protection de WPML jusqu'au 20 août, lorsque les éditeurs ont finalement publié un correctif dans la version 4.6.13.
Les utilisateurs de plugins sont invités à mettre à jour
Wordfence exhorte tous les utilisateurs du plugin WPML à s'assurer qu'ils utilisent la dernière version du plugin, WPML 4.6.13.
Ils ont écrit :
« Nous encourageons les utilisateurs à mettre à jour leurs sites avec la dernière version corrigée de WPML, la version 4.6.13 au moment de la rédaction de cet article, dès que possible. »
Pour en savoir plus sur cette vulnérabilité, consultez Wordfence :
1 000 000 de sites WordPress protégés contre une vulnérabilité unique d'exécution de code à distance dans le plugin WordPress WPML