threatover Patrik Grobshäuser

CVE-2024-6386 · SSTI → RCE · WPML

WPML compromise cleanup.

Authentifizierte SSTI im Twig-Template-Engine von WPML führte zu RCE. Offengelegt im September 2024. Wenn dein mehrsprachiges WordPress WPML nutzt und Einreichungen auf Mitarbeiter-Ebene akzeptiert, behandle die Seite als kompromittiert, bis das Gegenteil bestätigt ist. Pauschal $279.

What the bug was

Twig-Template-Injection aus der Mitarbeiter-Rolle.

WPML nutzt Twig, um Teile der Übersetzungs-Pipeline zu rendern. Ein Code-Pfad übergab nutzerkontrollierten Inhalt an die Twig-Engine, ohne die gefährlichen Primitives zu maskieren. Mit Zugriff auf das richtige Feld als Mitarbeiter konnte ein Angreifer Twig-Syntax injizieren und letztlich PHP-Funktionen aufrufen, darunter solche, die Dateien schrieben.

Gepatcht in 4.6.13. Der Patch reduzierte die Twig-Sandbox auf eine sicherere Teilmenge; Seiten, die zügig aktualisierten, schlossen die Tür. Das ausschließlich kostenpflichtige Lizenzmodell bedeutet, dass der Update-Rollout vom Lizenzstatus jedes Betreibers abhing.

Indicators

Was wir damit tun

  • Content

    Beiträge oder Felder mit Twig-Klammer-Ausdrücken und Aufrufen von Runtime-Klassen.

  • Nutzer

    Mitarbeiter-Konten, die ab September 2024 angelegt wurden — besonders über offene Registrierung. Mit den darauf folgenden Beitragseinreichungen abgleichen.

  • Files

    Frisches PHP in wp-content/uploads/, modifizierte Plugin-/Theme-Dateien, neue mu-plugins. Standard-Indikatoren für RCE-Persistenz.

  • Options

    Seit der Offenlegung hinzugekommene wp_options-autoload-Einträge mit unbekannten Namen oder base64-codierten Payloads.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.