Ada Bug Kritis di Plug-in WordPress, Ayo Segera Tambal!
WordPress | Foto: PCMag
Cyberthreat.id – Pemilik situs web WordPress yang menggunakan tema komersial yang disediakan oleh ThemeGrill disarankan untuk memperbarui salah satu plug-in yang diinstal. Ini lantaran ada kerentanan kritis yang dapat membuat penyerang menghapus situs web tersebut.
Kerentanan berada di “ThemeGrill Demo Importir”, sebuah plug-in yang dijual oleh ThemeGrill, perusahaan pengembangan web yang menjual tema WordPress komersial.
Plug-in, yang dipasang di lebih dari 200.000 situs web itu, memungkinkan pemilik situs untuk mengimpor konten demo di dalam tema ThemeGrill mereka.
Berita Terkait:
- Nama Ratusan Website Wordpress Diubah Hacker
- Hacker Serang Situs WordPress Manfaatkan Bug Plugin Lawas
- Pengguna WordPress Waspadalah, Bahaya Mengintai phpMyAdmin
Namun, dalam sebuah laporan yang diterbitkan Senin (17 Februari 2020, seperti dikutip dari ZDNet, perusahaan keamanan WordPress WebARX, mengatakan, versi lama “ThemeGrill Demo Importer” rentan terhadap serangan jarak jauh dari penyerang tidak terautentikasi.
Peretas jarak jauh dapat mengirim muatan (payload) yang dibuat khusus ke situs web yang rentan dan memicu fungsi di dalam plug-in.
Lebih jauh, jika basis data situs berisi pengguna bernama "admin," maka penyerang diberikan akses ke pengguna tersebut dengan hak administrator penuh atas situs tersebut.
Berita Terkait:
- Empat Jenis Serangan Terhadap Website Berbasis Wordpress
- Kenali WP-VCD, Malware Khusus yang Menyerang WordPress
- Hati-hati, 2.000 Situs WordPress Diretas untuk Penipuan
- Awas, Plugin Rich Review Penyebab Pop-up Iklan Pornografi
- Sempat Ditawar Pornhub, Tumblr Akhirnya Dibeli Bos WordPress
WebARX mengatakan kerentanan berdampak pada semua versi plug-in “ThemeGrill Demo Importer” antara versi 1.3.4 hingga 1.6.1.
ThemeGrill menyatakan, telah memperbaiki bug dan merilis versi 1.6.2 selama akhir pekan lalu.
Ini adalah bug kedua dalam plug-in WordPress yang diungkapkan tahun ini yang dapat memungkinkan penyerang menghapus database situs.
Bulan lalu, tim di Wordfence mengungkapkan masalah serupa di plug-in “WP Database Reset” yang diinstal di lebih dari 80.000 situs web.
Kerentanan pada WordPress terkenal lainnya yang telah diungkapkan tahun ini meliputi:
- Kerentanan lintas situs yang tersimpan di plug-in GDPR Cookie Consent yang digunakan oleh lebih dari 700.000 situs web.
- Kerentanan CSRF-to-RCE dalam plug-in “Snippets Code” yang digunakan oleh lebih dari 200.000 situs web.
- Bug pintas otentikasi di plug-in “InfiniteWP” yang digunakan oleh lebih dari 300.000 situs web.[]
