WPML compromise cleanup.

§ 01 — EN QUÉ CONSISTÍA EL BUG

Inyección de plantilla Twig desde un rol Contributor.

WPML usa Twig para renderizar partes de su pipeline de traducción. Una ruta de código pasaba contenido bajo el control del usuario al motor Twig sin escapar las primitivas peligrosas. Con acceso al campo adecuado como Contributor, un atacante podía inyectar sintaxis Twig y acabar invocando funciones PHP, incluidas algunas que escribían archivos.

Parcheado en 4.6.13. El parche redujo el sandbox de Twig a un subconjunto más seguro; los sitios que actualizaron rápido cerraron la puerta. Al ser una licencia exclusivamente premium, el despliegue de la actualización dependía del estado de licencia de cada propietario.

§ 02 — INDICADORES

Qué hacemos con ello

• [ CONTENIDO ]

  Posts o campos que contengan expresiones Twig con llaves y llamadas a clases de runtime.

• [ USUARIOS ]

  Cuentas Contributor creadas a partir de septiembre de 2024 — sobre todo vía registro abierto. Cruza esto con los envíos de posts que vinieron después de cada una.

• [ ARCHIVOS ]

  PHP recién creado en wp-content/uploads/, archivos de plugin/tema modificados, nuevos mu-plugins. Indicadores estándar de persistencia de RCE.

• [ OPTIONS ]

  Entradas autoload de wp_options añadidas desde la divulgación con nombres desconocidos o payloads codificados en base64.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.