CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-6386

Critical
Published: Translated: NVD NIST

Summary

Wtyczka WPML dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 4.6.12 z powodu wstrzyknięcia szablonów Twig po stronie serwera. Problem wynika z braku walidacji i sanitizacji danych wejściowych w funkcji renderującej.

Risk Assessment

Atakujący z poziomem dostępu Contributora lub wyższym mogą wykorzystać tę podatność do wykonania kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki WPML do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie dostępu i audyty bezpieczeństwa.

Original NVD description (English source)

The WPML plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 4.6.12 via Twig Server-Side Template Injection. This is due to missing input validation and sanitization on the render function. This makes it possible for authenticated attackers, with Contributor-level access and above, to execute code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS