Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Tiga Kelemahan Plug-in WordPress
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Tiga Kelemahan Plug-in WordPress

3 min read
Tiga Kelemahan Plug-in WordPressTiga Kelemahan Plug-in WordPressTiga Kelemahan Plug-in WordPress

image credit: Pixabay.com

Pada kesempatan kali ini kita akan membahas mengenai tiga kelemahan plug-in WordPress yang menjadi lubang keamanan berisiko tinggi, sebagai berikut.

Plug-in WordPress yang diinstal lebih dari 6 juta kali rentan terhadap kelemahan Cross Site Scripting (XSS) yang memungkinkan penyerang meningkatkan hak istimewa.

Dan juga berpotensi menginstal kode berbahaya untuk mengaktifkan pengalihan, iklan, dan muatan HTML lainnya ke situs web yang terpengaruh.

Peneliti keamanan menemukan kelemahan tersebut, yang dilacak sebagai CVE-2024-47374, di LiteSpeed Cache, yang dikenal sebagai plug-in caching paling populer untuk sistem manajemen konten (CMS) WordPress.

Kelemahan tersebut dilaporkan pada 24 September melalui Program Bug Bounty Patchstack untuk WordPress, hal itu memengaruhi LiteSpeed Cache melalui versi 6.5.0.2, dan pengguna harus segera memperbaruinya agar tidak rentan terhadap serangan.

LiteSpeed Cache dideskripsikan oleh pengembangnya sebagai plugin akselerasi situs lengkap, yang menampilkan cache tingkat server eksklusif dan kumpulan fitur pengoptimalan.

Mendukung WordPress Multisite dan kompatibel dengan plug-in paling populer, termasuk:

  • WooCommerce.
  • bbPress.
  • Yoast SEO.

Kelemahan yang memerlukan perhatian segera adalah kerentanan XSS tersimpan yang tidak diautentikasi yang dapat memungkinkan pengguna yang tidak diautentikasi mencuri informasi sensitif, dalam hal ini, peningkatan hak istimewa di situs WordPress dengan melakukan satu permintaan HTTP.

XSS adalah kerentanan Web yang sering dieksploitasi dan tertua, yang memungkinkan penyerang untuk menyuntikkan kode berbahaya ke halaman web

Atau aplikasi yang sah untuk menjalankan skrip berbahaya yang memengaruhi orang yang mengunjungi situs tersebut.

Baca juga: Mengenal Vektor Serangan

Tiga Kelemahan Plug-in WordPress

Peneliti sebenarnya menemukan tiga kelemahan dalam plug-in tersebut, termasuk kelemahan XSS lainnya serta kerentanan lintasan-lintas. Namun, hanya CVE-2024-47374 yang dianggap berbahaya dan diperkirakan akan dieksploitasi oleh penyerang.

Setelah mendapat pemberitahuan, pengembang plug-in cache LiteSpeed mengirimkan kembali patch untuk validasi pada hari yang sama.

Patchstack menerbitkan pembaruan yang memperbaiki ketiga kelemahan dalam cache LiteSpeed versi 6.5.1 pada tanggal 25 September, dan menambahkan kelemahan tersebut ke basis data kerentanannya lima hari kemudian.

CVE-2024-47374 dicirikan sebagai penyebab Netralisasi Input yang Tidak Tepat Selama Pembuatan Halaman Web, menurut daftarnya di CVEdetails.com.

Produk tersebut tidak menetralkan atau menetralkan input yang dapat dikontrol pengguna secara tidak tepat sebelum ditempatkan dalam output yang digunakan sebagai halaman web yang disajikan kepada pengguna lain.

Kerentanan tersebut terjadi karena kode yang menangani tampilan antrean di bagian tertentu dari plug-in tersebut tidak menerapkan sanitasi dan pelepasan output.

Plugin tersebut menghasilkan daftar URL yang diantrekan untuk pembuatan CSS unik dan dengan URL tersebut, fungsi lain yang disebut ‘Vary Group’ dicetak pada halaman Admin.

Dalam output ini, fungsi “Vary Group” menggabungkan konsep “cache bervariasi” dan “peran pengguna.” Kerentanan terjadi karena Vary Group dapat disediakan oleh pengguna melalui HTTP Header dan dicetak pada halaman admin tanpa pembersihan.

Baca juga: Spam 101: Mengenal Spam Lebih Jauh

Perbarui & Mitigasi CVE-2024-47374

Karena penggunaannya yang luas sebagai fondasi situs web, platform WordPress dan khususnya plug-in-nya merupakan target yang sangat populer bagi pelaku ancaman.

Yang memberi mereka akses mudah ke permukaan serangan yang luas. Penyerang khususnya suka menargetkan plug-in tunggal dengan basis instalasi yang besar, yang menjadikan versi LiteSpeed Cache yang rentan sebagai target yang mungkin.

Patch untuk CVE-2024-47374 “cukup sederhana,” membersihkan output menggunakan esc_html. Perusahaan mengeluarkan patch virtual untuk mengurangi kelemahan tersebut dengan memblokir semua serangan hingga pelanggannya memperbarui ke versi yang sudah diperbaiki.

Sementara itu, semua administrator situs WordPress yang menggunakan LiteSpeed Cache disarankan untuk segera memperbarui ke versi 6.5.1 yang sudah diperbaiki.

Peneliti juga menyarankan agar pengembang situs WordPress yang bekerja dengan plug-in tersebut menerapkan escape dan sanitasi ke semua pesan yang akan ditampilkan sebagai pemberitahuan admin untuk mengurangi kerentanan.

Tergantung pada konteks data, disarankan untuk menggunakan sanitize_text_field untuk membersihkan nilai untuk keluaran HTML (di luar atribut HTML) atau esc_html. Untuk escape nilai di dalam atribut, Anda dapat menggunakan fungsi esc_attr.

Peneliti juga menyarankan agar pengembang situs yang bekerja dengan LiteSpeed Cache juga menerapkan pemeriksaan izin atau otorisasi yang tepat ke titik akhir rest route yang terdaftar untuk menghindari situs terpapar kerentanan XSS.

Demikina topik bahasan mengenai tiga kelemahan plug-in WordPress, semoga informasi yang disajikan dapat menambaha wawasan para pembaca.

 

 

 

Baca lainnya:

  • Hacker Manipulasi Excell 4.0 Distribusikan Malware
  • Tahukah Anda Lewat Cara Ini Malware Masuk ke Perangkat
  • Mengajari Anak Mengenal Malware
  • Malware DDoS Mirae Incar RouterMengenal Seluk Beluk Serangan Brute Force
  • Mengenal Berbagai Jenis Hacker
  • Mengenal Spyware Lebih Dekat & Cara Menghadapi Pegasus
  • Mengenal Vishing Penipuan Melalui Panggilan Telepon

 

 

Sumber berita:

 

WeLiveSecurity

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik CVE-2024-47374 kelemahan plug in wordpress kelemahan wordpress plug iniwordpresss

Continue Reading

Previous: CeranaKeeper Mengincar Asia Tenggara
Next: PhaaS EvilProxy

Related Stories

Privasi Data di Media Sosial Privasi Data di Media Sosial
4 min read
  • Sektor Personal
  • Teknologi

Privasi Data di Media Sosial

July 15, 2025
Puluhan Ekstensi Firefox Ancam Dompet Kripto Puluhan Ekstensi Firefox Ancam Dompet Kripto
3 min read
  • Teknologi

Puluhan Ekstensi Firefox Ancam Dompet Kripto

July 15, 2025
Penipuan Ketenagakerjaan dan Cara Kerjanya Penipuan Ketenagakerjaan dan Cara Kerjanya
4 min read
  • Sektor Personal

Penipuan Ketenagakerjaan dan Cara Kerjanya

July 15, 2025

Recent Posts

  • Privasi Data di Media Sosial
  • Puluhan Ekstensi Firefox Ancam Dompet Kripto
  • Penipuan Ketenagakerjaan dan Cara Kerjanya
  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Privasi Data di Media Sosial Privasi Data di Media Sosial
4 min read
  • Sektor Personal
  • Teknologi

Privasi Data di Media Sosial

July 15, 2025
Puluhan Ekstensi Firefox Ancam Dompet Kripto Puluhan Ekstensi Firefox Ancam Dompet Kripto
3 min read
  • Teknologi

Puluhan Ekstensi Firefox Ancam Dompet Kripto

July 15, 2025
Penipuan Ketenagakerjaan dan Cara Kerjanya Penipuan Ketenagakerjaan dan Cara Kerjanya
4 min read
  • Sektor Personal

Penipuan Ketenagakerjaan dan Cara Kerjanya

July 15, 2025
Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025

Copyright © All rights reserved. | DarkNews by AF themes.