Un fallo crítico de seguridad ha sido descubierto en el popular plugin de WordPress WPML, utilizado por más de un millón de sitios web en todo el mundo. Este fallo permite la ejecución remota de código por parte de atacantes autenticados, lo que podría derivar en la toma total de control del sitio afectado. Según la organización Common Vulnerabilities and Exposures (CVE), esta vulnerabilidad ha sido clasificada con una severidad de 9.9 sobre 10.
Vulnerabilidad en el plugin WPML
El problema radica en la falta de un proceso de seguridad conocido como sanitización, crucial para filtrar los datos que los usuarios ingresan y así prevenir la carga de archivos maliciosos. Al no realizar esta verificación, el plugin se vuelve vulnerable a la ejecución de código remoto (RCE, por sus siglas en inglés).
Esta vulnerabilidad se encuentra en una función de un shortcode que se utiliza para crear un conmutador de idiomas personalizado. La función en cuestión procesa el contenido del shortcode en una plantilla del plugin, pero al no sanear los datos, permite la inyección de código.
El fallo afecta a todas las versiones del plugin WPML hasta la versión 4.6.12 incluida.
Cronología de la vulnerabilidad
La vulnerabilidad fue detectada a finales de junio por Wordfence, una empresa especializada en seguridad para WordPress. Inmediatamente notificaron a los desarrolladores de WPML, quienes no respondieron de manera oportuna. La primera confirmación de respuesta se produjo el 1 de agosto de 2024, casi un mes y medio después del descubrimiento inicial.
Mientras tanto, los usuarios de la versión de pago de Wordfence recibieron protección contra este fallo ocho días después de su descubrimiento. Aquellos que usaban la versión gratuita tuvieron que esperar hasta el 27 de julio para recibir la protección. Lamentablemente, los usuarios de WPML que no contaban con Wordfence no recibieron ninguna protección hasta el 20 de agosto, cuando los desarrolladores del plugin finalmente lanzaron un parche en la versión 4.6.13.
Urgencia por actualizar
Wordfence ha instado a todos los usuarios de WPML a asegurarse de que están utilizando la versión más reciente del plugin, WPML 4.6.13. La empresa ha sido clara en su mensaje:
“Instamos a los usuarios a actualizar sus sitios con la última versión parcheada de WPML, la 4.6.13, tan pronto como sea posible”.
Este incidente subraya la importancia de mantener los plugins de WordPress actualizados para evitar posibles amenazas de seguridad. Para más detalles sobre la vulnerabilidad, se puede consultar la publicación de Wordfence titulada "1,000,000 WordPress Sites Protected Against Unique Remote Code Execution Vulnerability in WPML WordPress Plugin". Puedes leerlo aquí.
