Was ist CVE-2024-6386?

A server-side template injection (SSTI) in WPML's Twig template processing. Authenticated users with at least the Contributor role could inject Twig template syntax that escaped the sandbox and reached PHP function execution. Affected: WPML Multilingual CMS versions prior to 4.6.13. Disclosed September 2024.

Nur auf Mitarbeiter-Ebene — war das wirklich ausnutzbar?

Yes. Contributor is the lowest 'authenticated' role and is often granted for guest posting, partner content, or freelancer access. On any site with open registration plus contributor by default, the bug was effectively unauthenticated. WPML's premium multilingual install base also overlaps heavily with publishing sites that accept submissions.

Woran erkenne ich, dass meine Seite getroffen wurde?

Check for posts or content containing Twig curly-brace syntax in fields that pass through WPML's translation handling. Check the standard WordPress RCE indicators: fresh admin users, fresh PHP in uploads, modified plugin files, new active plugins.

WPML ist ein Premium-Plugin. Behandelt ihr Kompromittierungen von Premium-Plugins?

Yes. The cleanup approach is identical to any WordPress compromise — manual file and database review, vector identification, hardening. Premium-vs-free doesn't change the cleanup.

// CVE-2024-6386 · SSTI → RCE · WPML

WPML compromise cleanup.

Authentifizierte SSTI im Twig-Template-Engine von WPML führte zu RCE. Offengelegt im September 2024. Wenn dein mehrsprachiges WordPress WPML nutzt und Einreichungen auf Mitarbeiter-Ebene akzeptiert, behandle die Seite als kompromittiert, bis das Gegenteil bestätigt ist. Pauschal $279.

Bereinigung starten → Über den Bug

§ 01 — WAS DER BUG WAR

Twig-Template-Injection aus der Mitarbeiter-Rolle.

WPML nutzt Twig, um Teile der Übersetzungs-Pipeline zu rendern. Ein Code-Pfad übergab nutzerkontrollierten Inhalt an die Twig-Engine, ohne die gefährlichen Primitives zu maskieren. Mit Zugriff auf das richtige Feld als Mitarbeiter konnte ein Angreifer Twig-Syntax injizieren und letztlich PHP-Funktionen aufrufen, darunter solche, die Dateien schrieben.

Gepatcht in 4.6.13. Der Patch reduzierte die Twig-Sandbox auf eine sicherere Teilmenge; Seiten, die zügig aktualisierten, schlossen die Tür. Das ausschließlich kostenpflichtige Lizenzmodell bedeutet, dass der Update-Rollout vom Lizenzstatus jedes Betreibers abhing.

§ 02 — INDIKATOREN

Was wir damit tun

[ INHALT ]
Beiträge oder Felder mit Twig-Klammer-Ausdrücken und Aufrufen von Runtime-Klassen.
[ NUTZER ]
Mitarbeiter-Konten, die ab September 2024 angelegt wurden — besonders über offene Registrierung. Mit den darauf folgenden Beitragseinreichungen abgleichen.
[ DATEIEN ]
Frisches PHP in wp-content/uploads/, modifizierte Plugin-/Theme-Dateien, neue mu-plugins. Standard-Indikatoren für RCE-Persistenz.
[ OPTIONS ]
Seit der Offenlegung hinzugekommene wp_options-autoload-Einträge mit unbekannten Namen oder base64-codierten Payloads.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →