Lebih dari 100.000 Situs WordPress Rentan Akibat Celah di GiveWP

Sebuah celah keamanan kritis telah teridentifikasi dalam plugin GiveWP, yang digunakan untuk donasi dan penggalangan dana di platform WordPress. Kelemahan ini berpotensi membahayakan lebih dari 100.000 situs web, membuatnya rentan terhadap serangan eksekusi kode jarak jauh. Celah keamanan ini, yang diberi kode CVE-2024-5932 dan mendapat skor CVSS sempurna 10.0, ditemukan dalam semua versi plugin sebelum versi 3.14.2, yang baru saja dirilis pada 7 Agustus 2024. Temuan ini dikreditkan kepada seorang peneliti keamanan yang menggunakan alias online villu164.

Dalam laporan yang dirilis minggu ini, Wordfence menjelaskan bahwa celah ini disebabkan oleh kerentanan terhadap PHP Object Injection yang mempengaruhi semua versi hingga 3.14.1. Kerentanan ini terjadi karena deserialisasi input yang tidak terpercaya dari parameter 'give_title'. "Kondisi ini memungkinkan penyerang yang tidak terotentikasi untuk menyuntikkan Objek PHP. Keberadaan rantai POP (Property Oriented Programming) memungkinkan penyerang untuk mengeksekusi kode dari jarak jauh dan bahkan menghapus file sembarangan," tulis Wordfence.

Kerentanan ini terletak pada fungsi bernama "give_process_donation_form()," yang bertugas memvalidasi dan menyaring data yang dimasukkan melalui formulir. Fungsi ini juga menangani informasi donasi, termasuk detail pembayaran, yang kemudian diteruskan ke gateway yang ditentukan. Jika celah ini dieksploitasi dengan sukses, penyerang yang sudah terotentikasi dapat mengeksekusi kode berbahaya di server, membuat pembaruan plugin menjadi langkah yang sangat penting untuk melindungi situs web dari potensi serangan.

Penemuan ini muncul hanya beberapa hari setelah Wordfence juga mengungkapkan celah keamanan lain yang tidak kalah kritis dalam plugin WordPress InPost PL dan InPost for WooCommerce, yang dilacak sebagai CVE-2024-6500 dan juga memiliki skor CVSS sempurna 10.0. Celah ini memungkinkan penyerang yang tidak terotentikasi untuk membaca dan menghapus file sembarangan, termasuk file penting seperti wp-config.php. Di sistem Linux, meskipun hanya file dalam direktori instalasi WordPress yang dapat dihapus, semua file dapat dibaca. Kerentanan ini telah diperbaiki dalam pembaruan versi 1.4.5.

Selain itu, kerentanan lain telah ditemukan dalam plugin JS Help Desk, yang memiliki lebih dari 5.000 instalasi aktif. Kerentanan ini, yang terdaftar sebagai CVE-2024-7094 dengan skor CVSS 9.8, dapat dieksploitasi untuk eksekusi kode jarak jauh melalui injeksi kode PHP. Tambalan untuk kerentanan ini telah disediakan dalam versi 2.8.7.

Sejumlah kerentanan lain pada berbagai plugin WordPress juga telah diidentifikasi dan diperbaiki, termasuk:

• CVE-2024-6220 (skor CVSS: 9.8): Kelemahan yang memungkinkan unggahan file sembarangan dalam plugin Keydatas, membuat penyerang yang tidak terotentikasi bisa mengunggah file ke server dan berpotensi mengeksekusi kode.
• CVE-2024-6467 (skor CVSS: 8.8): Kelemahan dalam plugin BookingPress yang memungkinkan penyerang terotentikasi dengan akses setingkat Subscriber atau lebih untuk membuat dan mengeksekusi file sembarangan atau mengakses informasi sensitif.
• CVE-2024-5441 (skor CVSS: 8.8): Kelemahan yang memungkinkan unggahan file sembarangan dalam plugin Modern Events Calendar, di mana penyerang dengan akses Subscriber dapat mengunggah dan mengeksekusi file di server situs.
• CVE-2024-6411 (skor CVSS: 8.8): Kelemahan eskalasi hak istimewa dalam plugin ProfileGrid yang memungkinkan pengguna dengan akses setingkat Subscriber untuk meningkatkan hak istimewa mereka ke level Administrator.

Memperbarui plugin-plugin ini adalah langkah penting untuk melindungi situs dari serangan yang memanfaatkan kerentanan ini, terutama yang berpotensi menyebarkan skimmer kartu kredit yang dapat mencuri informasi keuangan pengunjung situs. Baru-baru ini, Sucuri mengungkapkan kampanye skimmer yang menyusup ke situs web e-commerce PrestaShop dengan kode JavaScript berbahaya yang menggunakan koneksi WebSocket untuk mencuri detail kartu kredit.

Perusahaan keamanan situs web milik GoDaddy, Sucuri, juga mengingatkan pemilik situs WordPress untuk tidak menggunakan plugin dan tema bajakan, karena bisa menjadi pintu masuk bagi malware dan aktivitas jahat lainnya. Mereka menekankan bahwa menggunakan plugin dan tema resmi adalah bagian penting dari manajemen situs web yang bertanggung jawab, dan keamanan seharusnya tidak dikompromikan demi jalan pintas.