Akibat 3 Plugin WordPress Ini, 400 Situs Rentan Serangan Cyber


Peneliti keamanan kembali menemukan kerentanan serius terhadap tiga plugin WordPress yang telah dipakai oleh lebih dari 400 ribu situs yaitu plugin, InfiniteWP, WP Time Capsule dan Reset Database WP. Plugin ini membuat situs terbuka lebar untuk serangan cyber.


Bug yang ditemukan di plugin InfiniteWP,  WP Time Capsule dan reset Database WP,  adalah jenis bug bypass otorisasi serupa yang memungkinkan siapa pun untuk mengakses backend situs web tanpa kata sandi.

InfiniteWp Client
Plugin ini adalah yang paling parah dipengaruhi oleh kerentanan bypass otentikasi dan lebih dari 300 ribu situs web telah menginstal InfiniteWp Client.

InfiniteWP Client pada dasarnya memungkinkan administrator untuk mengelola beberapa situs web dari satu server. Namun dengan memanfaatkan cacatnya, siapa pun dapat masuk ke akun admin tanpa kredensial.

Ini akan memungkinkan peretas untuk menghapus konten, menambahkan akun baru dan menjalankan sejumlah kegiatan jahat lainnya (cracking).

Untuk mengeksploitasi kerentanan ini, seseorang hanya memerlukan nama pengguna akun yang valid dan dimasukkannya muatan berbahaya yang dikirim dalam permintaan POST ke situs yang rentan.

Bug ini muncul dari fitur yang memungkinkan pengguna untuk masuk secara otomatis sebagai administrator tanpa memberikan kata sandi.

Jika Anda menjalankan InfiniteWP Client 1.9.4.4 atau lebih rendah di situs web Anda, Anda harus segera memperbaharui ke 1.9.4.5.


WP Time Capsule
WP Time Capsule juga menderita bug bypass otentikasi yang memungkinkan peretas untuk masuk sebagai admin. Plugin ini pada dasarnya memudahkan untuk membuat cadangan data situs web dan sekitar 20 ribu situs web memiliki plugin ini.

Untuk meningkatkan kelemahan ini, penyerang perlu memasukkan string dalam permintaan POST yang membantu mereka mendapatkan daftar semua akun admin dan secara otomatis masuk ke yang pertama.

Sebuah tambahan telah diluncurkan di versi 1.21.16 sehingga Anda harus segera memperbaharui situs web Anda jika masih menjalankan versi sebelumnya.


Reset Database WP
Bug ketiga ditemukan di plugin Reset Database WP yang diinstal hampir 80 ribu situs web. Ini memungkinkan siapa saja mereset database ke status WordPress aslinya hanya dalam beberapa klik, sehingga menghapus semua data termasuk posting, halaman, pengguna dan banyak lagi.

Bug berasal dari fungsi reset yang belum diamankan oleh pemeriksaan kemampuan standar atau nuansa keamanan. Eksploitasi kelemahan ini dapat mengakibatkan hilangnya data atau pengaturan ulang situs.

Kelemahan keamanan lain dalam Reset Database WP mengarah pada kerentanan hak istimewa yang memungkinkan setiap pengguna yang diautentikasi mendapatkan hak istimewa admin dan mengunci semua pengguna lain.

Untuk menghindari korban serangan tersebut, administrator situs yang menggunakan plugin ini harus memperbaharui ke versi 3.15 untuk menambal kedua bug.

Di tengah ancaman kerentaan ini, satu-satunya kabar baik adalah bahwa belum ada laporan tentang kerentanan ini yang dieksploitasi oleh peretas jahat (cracker).

Berlangganan update artikel terbaru via email:

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel