Pada kesempatan kali ini kita akan membahas mengenai tiga kelemahan plug-in WordPress yang menjadi lubang keamanan berisiko tinggi, sebagai berikut.
Plug-in WordPress yang diinstal lebih dari 6 juta kali rentan terhadap kelemahan Cross Site Scripting (XSS) yang memungkinkan penyerang meningkatkan hak istimewa.
Dan juga berpotensi menginstal kode berbahaya untuk mengaktifkan pengalihan, iklan, dan muatan HTML lainnya ke situs web yang terpengaruh.
Peneliti keamanan menemukan kelemahan tersebut, yang dilacak sebagai CVE-2024-47374, di LiteSpeed Cache, yang dikenal sebagai plug-in caching paling populer untuk sistem manajemen konten (CMS) WordPress.
Kelemahan tersebut dilaporkan pada 24 September melalui Program Bug Bounty Patchstack untuk WordPress, hal itu memengaruhi LiteSpeed Cache melalui versi 6.5.0.2, dan pengguna harus segera memperbaruinya agar tidak rentan terhadap serangan.
LiteSpeed Cache dideskripsikan oleh pengembangnya sebagai plugin akselerasi situs lengkap, yang menampilkan cache tingkat server eksklusif dan kumpulan fitur pengoptimalan.
Mendukung WordPress Multisite dan kompatibel dengan plug-in paling populer, termasuk:
- WooCommerce.
- bbPress.
- Yoast SEO.
Kelemahan yang memerlukan perhatian segera adalah kerentanan XSS tersimpan yang tidak diautentikasi yang dapat memungkinkan pengguna yang tidak diautentikasi mencuri informasi sensitif, dalam hal ini, peningkatan hak istimewa di situs WordPress dengan melakukan satu permintaan HTTP.
XSS adalah kerentanan Web yang sering dieksploitasi dan tertua, yang memungkinkan penyerang untuk menyuntikkan kode berbahaya ke halaman web
Atau aplikasi yang sah untuk menjalankan skrip berbahaya yang memengaruhi orang yang mengunjungi situs tersebut.
Baca juga: Mengenal Vektor Serangan |
Tiga Kelemahan Plug-in WordPress
Peneliti sebenarnya menemukan tiga kelemahan dalam plug-in tersebut, termasuk kelemahan XSS lainnya serta kerentanan lintasan-lintas. Namun, hanya CVE-2024-47374 yang dianggap berbahaya dan diperkirakan akan dieksploitasi oleh penyerang.
Setelah mendapat pemberitahuan, pengembang plug-in cache LiteSpeed mengirimkan kembali patch untuk validasi pada hari yang sama.
Patchstack menerbitkan pembaruan yang memperbaiki ketiga kelemahan dalam cache LiteSpeed versi 6.5.1 pada tanggal 25 September, dan menambahkan kelemahan tersebut ke basis data kerentanannya lima hari kemudian.
CVE-2024-47374 dicirikan sebagai penyebab Netralisasi Input yang Tidak Tepat Selama Pembuatan Halaman Web, menurut daftarnya di CVEdetails.com.
Produk tersebut tidak menetralkan atau menetralkan input yang dapat dikontrol pengguna secara tidak tepat sebelum ditempatkan dalam output yang digunakan sebagai halaman web yang disajikan kepada pengguna lain.
Kerentanan tersebut terjadi karena kode yang menangani tampilan antrean di bagian tertentu dari plug-in tersebut tidak menerapkan sanitasi dan pelepasan output.
Plugin tersebut menghasilkan daftar URL yang diantrekan untuk pembuatan CSS unik dan dengan URL tersebut, fungsi lain yang disebut ‘Vary Group’ dicetak pada halaman Admin.
Dalam output ini, fungsi “Vary Group” menggabungkan konsep “cache bervariasi” dan “peran pengguna.” Kerentanan terjadi karena Vary Group dapat disediakan oleh pengguna melalui HTTP Header dan dicetak pada halaman admin tanpa pembersihan.
Baca juga: Spam 101: Mengenal Spam Lebih Jauh |
Perbarui & Mitigasi CVE-2024-47374
Karena penggunaannya yang luas sebagai fondasi situs web, platform WordPress dan khususnya plug-in-nya merupakan target yang sangat populer bagi pelaku ancaman.
Yang memberi mereka akses mudah ke permukaan serangan yang luas. Penyerang khususnya suka menargetkan plug-in tunggal dengan basis instalasi yang besar, yang menjadikan versi LiteSpeed Cache yang rentan sebagai target yang mungkin.
Patch untuk CVE-2024-47374 “cukup sederhana,” membersihkan output menggunakan esc_html. Perusahaan mengeluarkan patch virtual untuk mengurangi kelemahan tersebut dengan memblokir semua serangan hingga pelanggannya memperbarui ke versi yang sudah diperbaiki.
Sementara itu, semua administrator situs WordPress yang menggunakan LiteSpeed Cache disarankan untuk segera memperbarui ke versi 6.5.1 yang sudah diperbaiki.
Peneliti juga menyarankan agar pengembang situs WordPress yang bekerja dengan plug-in tersebut menerapkan escape dan sanitasi ke semua pesan yang akan ditampilkan sebagai pemberitahuan admin untuk mengurangi kerentanan.
Tergantung pada konteks data, disarankan untuk menggunakan sanitize_text_field untuk membersihkan nilai untuk keluaran HTML (di luar atribut HTML) atau esc_html. Untuk escape nilai di dalam atribut, Anda dapat menggunakan fungsi esc_attr.
Peneliti juga menyarankan agar pengembang situs yang bekerja dengan LiteSpeed Cache juga menerapkan pemeriksaan izin atau otorisasi yang tepat ke titik akhir rest route yang terdaftar untuk menghindari situs terpapar kerentanan XSS.
Demikina topik bahasan mengenai tiga kelemahan plug-in WordPress, semoga informasi yang disajikan dapat menambaha wawasan para pembaca.
Sumber berita: