NEWS : Ada Bug Kritis di Plug-in WordPress, Ayo Segera Tambal!

Ada Bug Kritis di Plug-in WordPress, Ayo Segera Tambal!

Ada Bug Kritis di Plug-in WordPress, Ayo Segera Tambal!
WordPress | Foto: PCMag
Andi Nugroho Selasa, 18 Februari 2020 - 09:15 WIB

Cyberthreat.id – Pemilik situs web WordPress yang menggunakan tema komersial yang disediakan oleh ThemeGrill disarankan untuk memperbarui salah satu plug-in yang diinstal. Ini lantaran ada kerentanan kritis yang dapat membuat penyerang menghapus situs web tersebut.

Kerentanan berada di “ThemeGrill Demo Importir”, sebuah plug-in yang dijual oleh ThemeGrill, perusahaan pengembangan web yang menjual tema WordPress komersial.

Plug-in, yang dipasang di lebih dari 200.000 situs web itu, memungkinkan pemilik situs untuk mengimpor konten demo di dalam tema ThemeGrill mereka.


Berita Terkait:


Namun, dalam sebuah laporan yang diterbitkan Senin (17 Februari 2020, seperti dikutip dari ZDNet, perusahaan keamanan WordPress WebARX, mengatakan, versi lama “ThemeGrill Demo Importer” rentan terhadap serangan jarak jauh dari penyerang tidak terautentikasi.

Peretas jarak jauh dapat mengirim muatan (payload) yang dibuat khusus ke situs web yang rentan dan memicu fungsi di dalam plug-in.

Lebih jauh, jika basis data situs berisi pengguna bernama "admin," maka penyerang diberikan akses ke pengguna tersebut dengan hak administrator penuh atas situs tersebut.


Berita Terkait:


WebARX mengatakan kerentanan berdampak pada semua versi plug-in “ThemeGrill Demo Importer” antara versi 1.3.4 hingga 1.6.1.

ThemeGrill menyatakan, telah memperbaiki bug dan merilis versi 1.6.2 selama akhir pekan lalu.

Ini adalah bug kedua dalam plug-in WordPress yang diungkapkan tahun ini yang dapat memungkinkan penyerang menghapus database situs.

Bulan lalu, tim di Wordfence mengungkapkan masalah serupa di plug-in “WP Database Reset” yang diinstal di lebih dari 80.000 situs web.

Kerentanan pada WordPress terkenal lainnya yang telah diungkapkan tahun ini meliputi:

  • Kerentanan lintas situs yang tersimpan di plug-in GDPR Cookie Consent yang digunakan oleh lebih dari 700.000 situs web.
  • Kerentanan CSRF-to-RCE dalam plug-in “Snippets Code” yang digunakan oleh lebih dari 200.000 situs web.
  • Bug pintas otentikasi di plug-in “InfiniteWP” yang digunakan oleh lebih dari 300.000 situs web.[]

Standardisasi dan Validasi Teknologi