CVE-2024-6386 · SSTI → RCE · WPML
WPML compromise cleanup.
Authentifizierte SSTI im Twig-Template-Engine von WPML führte zu RCE. Offengelegt im September 2024. Wenn dein mehrsprachiges WordPress WPML nutzt und Einreichungen auf Mitarbeiter-Ebene akzeptiert, behandle die Seite als kompromittiert, bis das Gegenteil bestätigt ist. Pauschal $279.
What the bug was
Twig-Template-Injection aus der Mitarbeiter-Rolle.
WPML nutzt Twig, um Teile der Übersetzungs-Pipeline zu rendern. Ein Code-Pfad übergab nutzerkontrollierten Inhalt an die Twig-Engine, ohne die gefährlichen Primitives zu maskieren. Mit Zugriff auf das richtige Feld als Mitarbeiter konnte ein Angreifer Twig-Syntax injizieren und letztlich PHP-Funktionen aufrufen, darunter solche, die Dateien schrieben.
Gepatcht in 4.6.13. Der Patch reduzierte die Twig-Sandbox auf eine sicherere Teilmenge; Seiten, die zügig aktualisierten, schlossen die Tür. Das ausschließlich kostenpflichtige Lizenzmodell bedeutet, dass der Update-Rollout vom Lizenzstatus jedes Betreibers abhing.
Indicators
Was wir damit tun
Content
Beiträge oder Felder mit Twig-Klammer-Ausdrücken und Aufrufen von Runtime-Klassen.
Nutzer
Mitarbeiter-Konten, die ab September 2024 angelegt wurden — besonders über offene Registrierung. Mit den darauf folgenden Beitragseinreichungen abgleichen.
Files
Frisches PHP in wp-content/uploads/, modifizierte Plugin-/Theme-Dateien, neue mu-plugins. Standard-Indikatoren für RCE-Persistenz.
Options
Seit der Offenlegung hinzugekommene wp_options-autoload-Einträge mit unbekannten Namen oder base64-codierten Payloads.
Preise
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Bereinigung startenMonitoring
$29 / mo
per site, cancel any time
Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.
Schützen lassenPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Alle Leistungen ansehen →E-Mail [email protected] or use the contact form.