Qu'est-ce que CVE-2024-6386 ?

A server-side template injection (SSTI) in WPML's Twig template processing. Authenticated users with at least the Contributor role could inject Twig template syntax that escaped the sandbox and reached PHP function execution. Affected: WPML Multilingual CMS versions prior to 4.6.13. Disclosed September 2024.

Niveau Contributor uniquement — était-ce vraiment exploitable ?

Yes. Contributor is the lowest 'authenticated' role and is often granted for guest posting, partner content, or freelancer access. On any site with open registration plus contributor by default, the bug was effectively unauthenticated. WPML's premium multilingual install base also overlaps heavily with publishing sites that accept submissions.

Comment savoir si mon site a été touché ?

Check for posts or content containing Twig curly-brace syntax in fields that pass through WPML's translation handling. Check the standard WordPress RCE indicators: fresh admin users, fresh PHP in uploads, modified plugin files, new active plugins.

WPML est un plugin premium. Traitez-vous les compromissions de plugins premium ?

Yes. The cleanup approach is identical to any WordPress compromise — manual file and database review, vector identification, hardening. Premium-vs-free doesn't change the cleanup.

// CVE-2024-6386 · SSTI → RCE · WPML

WPML compromise cleanup.

Une SSTI authentifiée dans le moteur de templates Twig de WPML a produit une RCE. Divulguée en septembre 2024. Si votre WordPress multilingue utilise WPML et accepte des soumissions au niveau Contributor, considérez le site comme compromis jusqu'à vérification. Forfait $279.

Démarrer un nettoyage → À propos du bug

§ 01 — EN QUOI CONSISTAIT LE BUG

Injection de template Twig depuis un rôle Contributor.

WPML utilise Twig pour rendre des parties de son pipeline de traduction. Un chemin de code passait du contenu sous le contrôle de l'utilisateur dans le moteur Twig sans échapper les primitives dangereuses. Avec accès au bon champ en tant que Contributor, un attaquant pouvait injecter de la syntaxe Twig et finalement invoquer des fonctions PHP, y compris celles qui écrivaient des fichiers.

Patchée en 4.6.13. Le correctif a réduit la sandbox Twig à un sous-ensemble plus sûr ; les sites qui ont mis à jour rapidement ont fermé la porte. La licence uniquement premium signifie que le déploiement des mises à jour dépendait du statut de licence de chaque propriétaire.

§ 02 — INDICATEURS

Ce que nous en faisons

[ CONTENU ]
Articles ou champs contenant des expressions Twig entre accolades et des appels à des classes runtime.
[ UTILISATEURS ]
Comptes Contributor créés à partir de septembre 2024 — en particulier via l'inscription ouverte. Recoupez avec les soumissions d'articles qui ont suivi chacun.
[ FICHIERS ]
Nouveau PHP dans wp-content/uploads/, fichiers de plugin/thème modifiés, nouveaux mu-plugins. Indicateurs de persistance RCE standard.
[ OPTIONS ]
Entrées autoload de wp_options ajoutées depuis la divulgation avec des noms inconnus ou des payloads encodés en base64.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →