خلل خطير في ملحق WPML يعرض مواقع WordPress لتنفيذ تعليمات برمجية عن بعد

28 أغسطس 2024رافي لاكشمانانأمان ووردبريس / حماية موقع الويب

تم الكشف عن ثغرة أمنية خطيرة في البرنامج الإضافي متعدد اللغات WPML WordPress والذي قد يسمح للمستخدمين المعتمدين بتنفيذ تعليمات برمجية عشوائية عن بعد في ظل ظروف معينة.

الثغرة الأمنية، تعقبها CVE-2024-6386 (درجة CVSS: 9.9)، يؤثر على جميع إصدارات البرنامج الإضافي قبل 4.6.13، والذي تم إصداره في 20 أغسطس 2024.

بسبب عدم وجود التحقق من صحة الإدخال والتطهير، تتيح المشكلة للمهاجمين المعتمدين، الذين لديهم وصول على مستوى المساهم وما فوق، تنفيذ التعليمات البرمجية على الخادم.

يعد WPML مكونًا إضافيًا شائعًا يُستخدم لإنشاء مواقع WordPress متعددة اللغات. لديها أكثر من مليون عملية تثبيت نشطة.

قال الباحث الأمني ​​Stealthcopter، الذي اكتشف CVE-2024-6386 وأبلغ عنه، إن المشكلة تكمن في تعامل البرنامج الإضافي مع الرموز القصيرة التي يتم استخدامها لإدراج محتوى المنشور مثل الصوت والصور ومقاطع الفيديو.

“على وجه التحديد، يستخدم البرنامج المساعد قوالب Twig لعرض المحتوى في الرموز القصيرة ولكنه يفشل في تحسين المدخلات بشكل صحيح، مما يؤدي إلى حقن القالب من جانب الخادم (SSTI)،” الباحث قال.

SSTI، كما يوحي الاسم، يحدث عندما يكون المهاجم قادرًا على استخدام بناء جملة القالب الأصلي لإدخال حمولة ضارة في قالب ويب، والتي يتم تنفيذها بعد ذلك على الخادم. ويمكن للمهاجم بعد ذلك استغلال الخلل لتنفيذ أوامر عشوائية، مما يسمح له فعليًا بالسيطرة على الموقع.

“يعمل إصدار WPML هذا على إصلاح ثغرة أمنية قد تسمح للمستخدمين الذين لديهم أذونات معينة بتنفيذ إجراءات غير مصرح بها،” حسبما ذكر مشرفو المكونات الإضافية، OnTheGoSystems، قال. “من غير المرجح أن تحدث هذه المشكلة في سيناريوهات العالم الحقيقي. فهي تتطلب أن يكون لدى المستخدمين أذونات التحرير في WordPress، ويجب أن يستخدم الموقع إعدادًا محددًا للغاية.”

يُنصح مستخدمو البرنامج الإضافي بتطبيق أحدث التصحيحات للتخفيف من التهديدات المحتملة.