threatover Patrik Grobshäuser

CVE-2024-6386 · SSTI → RCE · WPML

WPML compromise cleanup.

Une SSTI authentifiée dans le moteur de templates Twig de WPML a produit une RCE. Divulguée en septembre 2024. Si votre WordPress multilingue utilise WPML et accepte des soumissions au niveau Contributor, considérez le site comme compromis jusqu'à vérification. Forfait $279.

What the bug was

Injection de template Twig depuis un rôle Contributor.

WPML utilise Twig pour rendre des parties de son pipeline de traduction. Un chemin de code passait du contenu sous le contrôle de l'utilisateur dans le moteur Twig sans échapper les primitives dangereuses. Avec accès au bon champ en tant que Contributor, un attaquant pouvait injecter de la syntaxe Twig et finalement invoquer des fonctions PHP, y compris celles qui écrivaient des fichiers.

Patchée en 4.6.13. Le correctif a réduit la sandbox Twig à un sous-ensemble plus sûr ; les sites qui ont mis à jour rapidement ont fermé la porte. La licence uniquement premium signifie que le déploiement des mises à jour dépendait du statut de licence de chaque propriétaire.

Indicators

Ce que nous en faisons

  • Content

    Articles ou champs contenant des expressions Twig entre accolades et des appels à des classes runtime.

  • Utilisateurs

    Comptes Contributor créés à partir de septembre 2024 — en particulier via l'inscription ouverte. Recoupez avec les soumissions d'articles qui ont suivi chacun.

  • Files

    Nouveau PHP dans wp-content/uploads/, fichiers de plugin/thème modifiés, nouveaux mu-plugins. Indicateurs de persistance RCE standard.

  • Options

    Entrées autoload de wp_options ajoutées depuis la divulgation avec des noms inconnus ou des payloads encodés en base64.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.