ثغرة خطيرة في إضافة WPML تعرض مواقع WordPress لتنفيذ الأكواد عن بُعد

تم الكشف عن ثغرة أمنية خطيرة في إضافة WPML المستخدمة في مواقع WordPress متعددة اللغات، والتي قد تسمح للمستخدمين المصادق عليهم بتنفيذ أكواد عشوائية عن بُعد تحت ظروف معينة.

الثغرة، المعروفة بالرمز CVE-2024-6386 (بدرجة CVSS: 9.9)، تؤثر على جميع إصدارات الإضافة قبل الإصدار 4.6.13، والذي تم إصداره في 20 أغسطس 2024.

هذه الثغرة ناتجة عن نقص في التحقق من صحة المدخلات والتعقيم، مما يجعل من الممكن للمهاجمين المصادق عليهم، الذين لديهم صلاحيات “Contributor” وما فوق، تنفيذ أكواد على الخادم.

إضافة WPML هي إضافة شهيرة تُستخدم لبناء مواقع WordPress متعددة اللغات. لديها أكثر من مليون عملية تثبيت نشطة.

الباحث الأمني stealthcopter، الذي اكتشف وأبلغ عن الثغرة CVE-2024-6386، قال إن المشكلة تكمن في كيفية تعامل الإضافة مع الشورت كود (shortcodes) التي تُستخدم لإدراج محتوى المنشور مثل الصوت والصور والفيديوهات.

ثغرة في إضافة WPML

“تحديدًا، تستخدم الإضافة قوالب Twig لعرض المحتوى في الشورت كود، لكنها تفشل في تعقيم المدخلات بشكل صحيح، مما يؤدي إلى حقن القوالب على جانب الخادم (SSTI)”، قال الباحث.

كما يشير الاسم، يحدث SSTI عندما يتمكن المهاجم من استخدام صيغة القوالب الأصلية لحقن حمولة ضارة في قالب ويب، والذي يتم تنفيذه بعد ذلك على الخادم. يمكن للمهاجم حينها استغلال هذا العيب لتنفيذ أوامر عشوائية، مما يسمح له فعليًا بالسيطرة على الموقع.

“هذا التحديث لإضافة WPML يعالج ثغرة أمنية يمكن أن تسمح للمستخدمين ذوي الصلاحيات المحددة بأداء إجراءات غير مصرح بها”، قال فريق صيانة الإضافة، OnTheGoSystems. “من غير المحتمل أن تحدث هذه المشكلة في السيناريوهات الواقعية. يتطلب الأمر أن يكون لدى المستخدمين صلاحيات تحرير في WordPress، ويجب أن يكون الموقع في إعداد محدد للغاية.”

يوصى لمستخدمي الإضافة بتطبيق التحديثات الأخيرة للتخفيف من التهديدات المحتملة.