O plugin denominado Wordpress Multilingual Plugin permite construir sites com suporte a múltiplas línguas, já contando com mais de um milhão de instalações ativas.

A falha de execução de código remota (CVE-2024-6386) foi detetada no plugin, tendo por base uma injeção do lado do template ou Server-Side Template Injection (SSTI) devido ao facto de o plugin usar modelos Twig para renderizar conteúdo em códigos de acesso e não sanitizar adequadamente a entrada dos utilizadores. Uma SSTI surge quando o atacante é capaz de usar a sintaxe nativa do modelo para injetar uma carga maliciosa num modelo da web, que será depois executado no servidor

Versão afetada

Anteriores à 4.6.13

Atualizar o plugin segundo o blogue oficial: https://wpml.org/faq/updating-wpml-manually/