Er is een security update beschikbaar voor WPML, de meest populaire plugin voor het creëren en beheren van vertalingen op meertalige WordPress websites. Het gaat om WPML 4.6.13. Deze versie bevat een patch voor een ernstige kwetsbaarheid, die risico’s oplevert voor een deel van de 1 miljoen+ gebruikers van de plugin.
Kwetsbaarheid in WPML
De kwetsbaarheid in de WMPL plugin werd al in juni ontdekt door veiligheidsonderzoeker Matt Rollins, die het probleem rapporteerde via het Bug Bounty Program van Wordfence. Het betreft een zogeheten Remote Code Execution (RCE) kwetsbaarheid. De kwetsbaarheid, die het mogelijk maakt om op afstand malafide code op de server te laten draaien, kan misbruikt worden door iedereen die toegang heeft tot de berichteneditor van de betreffende website. Dat zijn dus alle gebruikers met een administrator (admin), editor (redacteur), author (auteur) of contributor (bijdrager) rol. Nadat de ontwikkelaar van WPML via responsible disclosure op de hoogte was gebracht, ging men aan de slag met een patch. Deze werd op 20 augustus uitgerold in WPML 4.6.13.
Gebruikers van Wordfence Premium, Care en Response kregen al op 27 juni een firewall regel die bescherming biedt tegen misbruik van de kwetsbaarheid. Een maand later, op 27 juli, kregen Wordfence Free gebruikers dezelfde firewall regel. Echter maken niet alle WMPL sites gebruik van Wordfence, en websites die de WPML plugin nog niet hebben geüpdatet naar 4.6.13 lopen risico. Alle WPML gebruikers worden geadviseerd om te updaten naar de meest recente versie.
Meer weten over de patch in WPML 4.6.13?
Voor meer technische informatie over de RCE kwetsbaarheid in WPML kun je het Wordfence bericht of de blogpost van Matt Rollins lezen.
Lees ook: WPML introduceert Better Than Human vertalingen