El plugin WPML para WordPress es vulnerable a la Ejecución Remota de Código en todas las versiones hasta, e incluyendo, la 4.6.12 a través de la Inyección de Plantillas en el Servidor Twig. Esto se debe a la falta de validación y sanitización de entrada en la función de renderizado. Esto permite que atacantes autenticados, con acceso de nivel de Contribuidor y superior, ejecuten código en el servidor.
La vulnerabilidad CVE-2024-6386 en el plugin WPML Multilingual CMS <= 4.6.12 permite a atacantes autenticados con roles de Contributor o superiores ejecutar código malicioso en el servidor a través de Injection en Twig Server-Side Template. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar WPML a la última versión disponible (superior a la 4.6.12) donde se haya corregido esta vulnerabilidad. Además, se debe monitorear los logs del servidor en busca de actividades sospechosas y limitar los roles y permisos de los usuarios para reducir el riesgo de explotación.
Es crucial que los administradores de sitios web que utilizan WPML Multilingual CMS actualicen a la versión más reciente para protegerse de esta vulnerabilidad de ejecución remota de código. La seguridad en WordPress es fundamental para garantizar la protección de los datos y la funcionalidad del sitio.