มีการเปิดเผยช่องโหว่ ระดับ critical ของ WPML WordPress multilingual plugin โดยเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถรันโค้ดบางอย่างจากระยะไกลภายใต้เงื่อนไขบางประการได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-6386 (คะแนน CVSS: 9.9) ส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันจนถึงเวอร์ชัน 4.6.13 ซึ่งเปิดเผยเมื่อวันที่ 20 สิงหาคม 2024 ที่ผ่านมา

ช่องโหว่นี้เกิดขึ้นจากการไม่ได้ตรวจสอบ input validation ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึง Contributor-level หรือสิทธิ์ที่สูงกว่า และสามารถเรียกใช้โค้ดบนเซิร์ฟเวอร์ได้

(more…)