admin 
WPML „WordPress“ papildinyje buvo aptiktas kritinis pažeidžiamumas, turintis įtakos daugiau nei milijonui įrenginių. Pažeidžiamumas leidžia autentifikuotam užpuolikui nuotoliniu būdu vykdyti kodą, o tai gali sukelti visišką svetainės perėmimą. Bendrų pažeidžiamumų ir galimų pavojų (CVE) organizacija jį įvertino kaip 9,9 balo iš 10.
WPML papildinio pažeidžiamumas
Papildinio pažeidžiamumas atsirado dėl to, kad nėra saugos patikros, vadinamos dezinfekavimu – vartotojo įvestų duomenų filtravimo procesu, siekiant apsaugoti nuo kenkėjiškų failų įkėlimo. Dėl šios įvesties valymo trūkumo įskiepis tampa pažeidžiamas nuotolinio kodo vykdymo.
Pažeidžiamumas yra trumpojo kodo, skirto tinkintam kalbos perjungikliui sukurti, funkcija. Funkcija pateikia turinį iš trumpojo kodo į papildinio šabloną, bet nevalydamas duomenų, todėl jis gali būti pažeidžiamas kodo įterpimui.
Pažeidžiamumas paveikia visas WPML „WordPress“ papildinio versijas iki 4.6.12 imtinai.
Pažeidžiamumo laiko juosta
„Wordfence“ pažeidžiamumą aptiko birželio pabaigoje ir nedelsdama apie tai pranešė WPML leidėjams, kurie nereagavo maždaug pusantro mėnesio, patvirtindami atsakymą 2024 m. rugpjūčio 1 d.
Mokamos „Wordfence“ versijos naudotojai gavo apsaugą praėjus aštuonioms dienoms po pažeidžiamumo aptikimo, o nemokami „Wordfence“ vartotojai apsaugą gavo liepos 27 d.
WPML papildinio vartotojai, nenaudoję nė vienos Wordfence versijos, negavo apsaugos nuo WPML iki rugpjūčio 20 d., kai leidėjai pagaliau išleido 4.6.13 versijos pataisą.
Papildinių vartotojai raginami atnaujinti
Wordfence ragina visus WPML papildinio vartotojus įsitikinti, kad jie naudoja naujausią įskiepio versiją WPML 4.6.13.
Jie rašė:
„Raginame vartotojus kuo greičiau atnaujinti savo svetaines su naujausia pataisyta WPML versija, 4.6.13 versija šio rašymo metu.
Skaitykite daugiau apie Wordfence pažeidžiamumą:
1 000 000 „WordPress“ svetainių, apsaugotų nuo unikalaus nuotolinio kodo vykdymo pažeidžiamumo WPML „WordPress“ papildinyje
Teminis vaizdas, kurį sukūrė Shutterstock / Luis Molinero
