Lỗ hổng trong plugin WPML CVE-2024-6386, CVSS 9.9 đe dọa an ninh hàng triệu trang WordPress
WPML là plugin gì ?
WPML là plugin hỗ trợ tạo website đa ngôn ngữ cho nền tảng WordPress được phát triển bởi OntheGosystems và ra mắt vào năm 2007. Với WPML plugins, người dùng có thể dịch mọi ngôn ngữ trên trang web với nhiều ngôn ngữ khác nhau. Theo thống kê có hơn 40 ngôn ngữ thông dụng nhất trên toàn thế giới được WPML plugins hỗ trợ. Hơn thế nó có thể tương thích với tất cả phiên bản WordPress mới nhất.
WPML hỗ trợ tạo ra trang web linh hoạt
So với những plugin dịch cứng hay Local Translate vì chỉ với một ngôn ngữ duy nhất nên sẽ khiến trang web của bạn không phong phú và linh hoạt. Nhưng ở WPML sẽ hỗ trợ bạn ra nhiều loại ngôn ngữ khác nhau rất đa dạng và chuyên nghiệp.
WPML hỗ trợ dịch tự động
Như đã trình bày ở trên, bạn sẽ tiết kiệm được hơn 90% khi chuyển đổi sang ngôn ngữ khác cho nội dung của mình nhờ Automatic Translation của Plugin WPML.
Công việc dịch vài viết trên website bạn cũng có thể phân quyền cho những editor, quản trị viên khác trên trang.
WPML hỗ trợ dịch mọi thứ
Không giống những plugin khác chỉ giúp bạn dịch bài viết còn ở WPML còn hỗ trợ bạn dịch những nội dung như: Menu, Theme, các Widget, trang được tạo bằng Page Builder, Taxonomy (Category, Tag),…
WPML có cộng đồng người sử dụng khổng lồ
Theo thống kê ở thị phần CMS – Content Management System hệ thống quản lý nội dung web, với tỷ lệ 64.1% trang WordPress dùng plugin WPML để làm website của họ trở nên đa dạng ngôn ngữ.
Mô tả lỗ hổng CVE-2024-6386
CVE-2024-6386 là lỗ hổng thực thi mã từ xa bắt nguồn từ vấn đề SSTI của Twig trong plugin WPML. Lỗ hổng ảnh hưởng đến tất cả các phiên bản lên đến 4.6.12.
Thông qua khai thác lỗ hổng, kẻ tấn công có thể giành toàn quyền kiểm soát một trang web, triển khai webshell và các công cụ độc hại khác để “nằm vùng”, đánh cắp dữ liệu hoặc phát động thêm các cuộc tấn công khác vào hệ thống.
Các nhà phát triển WPML đã phát hành phiên bản 4.6.13 để khắc phục lỗ hổng. Quản trị viên trang web được khuyến cáo khẩn trương cập nhật plugin WPML lên phiên bản mới nhất để giảm thiểu rủi ro bị khai thác, đặc biệt là khi PoC lỗ hổng đã được công bố.