CVE-2024-6386 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WPML 插件存在 **Twig 服务器端模板注入 (SSTI)** 漏洞。 💥 **后果**：攻击者可远程执行代码 (RCE)，彻底接管服务器。

🔍 **CWE**：CWE-1336 (不正确的模板处理)。 🐛 **缺陷**：渲染函数**缺少输入验证和清理**，直接渲染用户可控的 Twig 模板。

📦 **厂商**：WPML (WordPress Multilingual Plugin)。 📉 **版本**：**4.6.12 及之前版本**均受影响。

👑 **权限**：需要**经过身份验证**的攻击者。 📂 **数据**：可读取/修改服务器任意文件，执行系统命令，完全控制站点。

🔑 **门槛**：中等。 ✅ **条件**：需拥有 WordPress **登录权限** (PR:L)。 ⚡ **难度**：低 (AC:L)，无需用户交互 (UI:N)。

💣 **Exp**：有现成 PoC！ 🔗 GitHub 上已有多个 RCE 利用代码 (如 realbotnet, Argendo)。 ⚠️ **状态**：0Day 级别，在野利用风险极高。

🔎 **自查**：检查 WPML 版本是否 ≤ 4.6.12。 🧪 **测试**：在 `[wpml_language_switcher]` 短代码中注入 `{{ 2*2 }}`，若返回 `4` 则存在 SSTI。

🛡️ **补丁**：数据未提供具体补丁链接。 📢 **建议**：立即联系 WPML 官方或查看其官网更新日志，获取最新版本。

🚧 **临时规避**： 1. 限制 WordPress 管理员账户访问。 2. 暂时禁用 WPML 插件（若业务允许）。 3. 部署 WAF 规则拦截 Twig 模板注入特征。

🔥 **优先级**：**极高 (CVSS 9.9)**。 ⚡ **行动**：立即升级插件！这是远程代码执行漏洞，风险极大，不容拖延。