Plugin WordPress cadangan yang populer (terbuka di tab baru) dengan lebih dari tiga juta pengguna baru-baru ini memperbaiki kerentanan yang memungkinkan pelaku ancaman mengakses kata sandi, informasi identitas, dan data sensitif lainnya.
Seperti yang dilaporkan oleh analis keamanan WordFence, peneliti Marc Montpas menemukan kerentanan di UpdraftPlus, plugin pencadangan, pemulihan, dan klon untuk WordPress (terbuka di tab baru).
UpdraftPlus memiliki fitur yang memungkinkan pengguna mengirimkan tautan unduhan ke cadangan, melalui email, ke alamat yang ditentukan oleh pemilik situs. Namun, fitur ini telah diimplementasikan dengan buruk, peneliti telah menemukan, dan memungkinkan hampir semua orang, bahkan pengguna tingkat pelanggan, untuk membuat tautan valid yang memungkinkan mereka mengunduh file cadangan.
Namun, untuk mengeksploitasi kerentanan, penyerang harus memiliki akun aktif di sistem target, para peneliti menjelaskan lebih lanjut, menyimpulkan bahwa serangan semacam itu perlu ditargetkan. Konsekuensi potensial digambarkan sebagai “parah”, itulah sebabnya para peneliti menggunakan semua pengguna UpdraftPlus untuk segera memperbarui plugin mereka.
Versi yang ditambal adalah 1.22.3.
Plugin WordPress sering datang dengan kelemahan kritis yang memungkinkan penyerang mengambil alih situs web secara penuh. Beberapa minggu yang lalu, plugin WordPress populer yang digunakan oleh lebih dari satu juta situs web ditemukan membawa cacat eksekusi kode jarak jauh (RCE) kritis.
Kerentanan lain juga baru-baru ini ditemukan di plugin “WordPress Email Template Designer – WP HTML Mail”, yang memungkinkan penyerang yang tidak diautentikasi menyuntikkan JavaScript berbahaya yang akan dijalankan setiap kali admin situs mengakses editor template, sedangkan pada akhir Oktober 2021, para peneliti menemukan cacat pada plugin Hashthemes Demo Importer yang dapat dieksploitasi untuk sepenuhnya menghapus dan mengatur ulang situs web WordPress yang rentan (terbuka di tab baru).
Perancang Template Email WordPress – WP HTML Mail digunakan oleh 20.000 situs web, sedangkan plugin Hashthemes Demo Importer menghitung lebih dari 8.000 pengguna.
