El Plugin para crear sitios WordPress multi idioma ha sido actualizado de urgencia, al encontrarse una grave vulnerabilidad que afecta a la seguridad de más de 400.000 webs que usan el plugin. Se recomienda una actualización de urgencia.
Se identificado un total de 4 vulnerabilidades, reportadas por Jouko Pynnonen, CEO de la compañía. El problema más grave es la inyección de código directamente a la Base de datos, pudiendo realizar consultas, acceder a nombres de usuario y contraseñas.
Otro problema grave permite la retirada de contenidos de sitios web, incluyendo páginas, mensajes y menús. El defecto es causado por la falta de control de acceso en la funcionalidad «sincronización menú», que permite a los administradores mantener menús WordPress consistentes en diferentes idiomas.
El investigador también ha identificado una vulnerabilidad reflejado cross-site scripting (XSS) en el código «popup recordatorio» WPML. Un atacante puede aprovechar el fallo para ejecutar código JavaScript arbitrario en el navegador del usuario atacado.
El último agujero de seguridad identificado por Pynnonen puede ser explotado por un atacante no autenticado omitir la comprobación de nonce WPML y realizar cualquiera de los aproximadamente 50 funciones Ajax diseñados para ser utilizados por los administradores de sitios web.
La última versión del plugin ya ha solventado estos problemas de seguridad, por lo que recomendamos actualizar el plugin con urgencia.