Eine kritische Sicherheitslücke (CVE-2024-6386) im WPML Multilingual CMS Plugin für WordPress, das auf über einer Million Websites verwendet wird, ermöglicht es authentifizierten Angreifern mit Contributor-Rechten, Remote Code Execution (RCE) durch eine Server-Side Template Injection (SSTI) in Twig auszuführen. Die Lücke betrifft alle Versionen bis einschließlich 4.6.12 und wurde am 21. August 2024 öffentlich bekannt gegeben.
Durch die unsachgemäße Neutralisierung von speziellen Elementen im Template-Engine-Code kann ein Angreifer schädlichen Code einschleusen und auf dem Server ausführen. Nutzer sollten umgehend auf die gepatchte Version 4.6.13 aktualisieren, um das Risiko eines Angriffs zu minimieren.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: