threatover Patrik Grobshäuser

CVE-2024-6386 · SSTI → RCE · WPML

WPML compromise cleanup.

Una SSTI autenticada en el motor de plantillas Twig de WPML producía RCE. Divulgado en septiembre de 2024. Si tu WordPress multilingüe usa WPML y acepta envíos de nivel contributor, trata el sitio como comprometido hasta verificarlo. Tarifa plana $279.

What the bug was

Inyección de plantilla Twig desde un rol Contributor.

WPML usa Twig para renderizar partes de su pipeline de traducción. Una ruta de código pasaba contenido bajo el control del usuario al motor Twig sin escapar las primitivas peligrosas. Con acceso al campo adecuado como Contributor, un atacante podía inyectar sintaxis Twig y acabar invocando funciones PHP, incluidas algunas que escribían archivos.

Parcheado en 4.6.13. El parche redujo el sandbox de Twig a un subconjunto más seguro; los sitios que actualizaron rápido cerraron la puerta. Al ser una licencia exclusivamente premium, el despliegue de la actualización dependía del estado de licencia de cada propietario.

Indicators

Qué hacemos con ello

  • Content

    Posts o campos que contengan expresiones Twig con llaves y llamadas a clases de runtime.

  • Usuarios

    Cuentas Contributor creadas a partir de septiembre de 2024 — sobre todo vía registro abierto. Cruza esto con los envíos de posts que vinieron después de cada una.

  • Files

    PHP recién creado en wp-content/uploads/, archivos de plugin/tema modificados, nuevos mu-plugins. Indicadores estándar de persistencia de RCE.

  • Options

    Entradas autoload de wp_options añadidas desde la divulgación con nombres desconocidos o payloads codificados en base64.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.