Home Whatsapp

Kerentanan Eksekusi Kode Jarak Jauh Plugin Elementor WordPress

Halo semua, kali ini kita akan membahas tentang Kerentanan Eksekusi Kode Jarak Jauh Plugin Elementor WordPress
. Seperti apa sih pembahasannya? Yuk simak!

Kerentanan ditemukan di Elementor, dimulai dengan versi 3.6.0, yang memungkinkan penyerang mengunggah kode arbitrer dan melakukan pengambilalihan situs secara penuh. Cacat ini diperkenalkan melalui kurangnya kebijakan keamanan yang tepat dalam fitur wizard “Onboarding” yang baru.

Pemeriksaan Kemampuan Tidak Ada

Cacat di Elementor terkait dengan apa yang dikenal sebagai Pemeriksaan Kemampuan.

Pemeriksaan kemampuan adalah lapisan keamanan yang wajib dikodekan oleh semua pembuat plugin. Apa yang dilakukan pemeriksaan kemampuan adalah untuk memeriksa tingkat izin yang dimiliki setiap pengguna yang masuk.

Misalnya, seseorang dengan izin tingkat pelanggan mungkin dapat mengirimkan komentar ke artikel tetapi mereka tidak akan memiliki tingkat izin yang memberi mereka akses ke layar pengeditan WordPress untuk menerbitkan posting ke situs.

Peran Pengguna dapat berupa admin, editor, pelanggan, dll, dengan setiap degree berisi Kemampuan Pengguna yang ditetapkan untuk setiap peran pengguna.

Ketika sebuah plugin menjalankan kode, itu seharusnya memeriksa apakah pengguna memiliki kemampuan yang cukup untuk mengeksekusi kode itu.

WordPress menerbitkan Buku Pegangan Plugin yang secara khusus membahas pemeriksaan keamanan penting ini.

Bab itu disebut, Memeriksa Kemampuan Pengguna dan menguraikan apa yang perlu diketahui pembuat plugin tentang pemeriksaan keamanan semacam ini.

Buku pegangan WordPress menyarankan:

Memeriksa Kemampuan Pengguna

Jika plugin Anda mengizinkan pengguna untuk mengirimkan knowledge—baik itu di sisi Admin atau Publik—itu harus memeriksa Kemampuan Pengguna.

…Langkah paling penting dalam menciptakan lapisan keamanan yang efisien adalah memiliki sistem izin pengguna. WordPress menyediakan ini dalam bentuk Peran dan Kemampuan Pengguna.”

Elementor versi 3.6.0 memperkenalkan modul baru (Modul orientasi) yang gagal menyertakan pemeriksaan kemampuan.

Jadi masalah dengan Elementor bukanlah peretas yang pintar dan menemukan cara untuk melakukan pengambilalihan situs penuh atas situs internet berbasis Elementor.

Eksploitasi di Elementor disebabkan oleh kegagalan untuk menggunakan pemeriksaan kemampuan di tempat yang seharusnya.

Menurut laporan yang diterbitkan oleh Wordfence:

“Sayangnya tidak ada pemeriksaan kemampuan yang digunakan dalam versi yang rentan.

Penyerang dapat membuat zip plugin “Elementor Professional” palsu dan menggunakan fungsi ini untuk menginstalnya.

Kode apa pun yang ada di plugin palsu akan dieksekusi, yang dapat digunakan untuk mengambil alih situs atau mengakses sumber daya tambahan di server.”

Tindakan yang direkomendasikan

Kerentanan diperkenalkan di Elementor versi 3.6.0 dan dengan demikian tidak ada di versi sebelumnya.

Wordfence merekomendasikan agar penerbit memperbarui ke versi 3.6.3.

Namun, pejabat Log Perubahan Elemen menyatakan bahwa versi 3.6.4 memperbaiki masalah sanitasi yang terkait dengan modul wizard Orientasi yang terpengaruh.

Jadi mungkin ide yang baik untuk memperbarui ke Elementor 3.6.4.

Tangkapan Layar Perubahan Log Plugin Elementor WordPress

Tangkapan Layar Perubahan Log Plugin Elementor WordPress

Kutipan

Baca Laporan Wordfence tentang Kerentanan Elementor

Kerentanan Eksekusi Kode Jarak Jauh Kritis di Elementor


Semoga bermanfaat.

Leave a Reply