Blog Gratisan

Kerentanan Plugin WordPress ACF Mempengaruhi Hingga +2 Juta Situs

Halo semua, kali ini kita akan membahas tentang Kerentanan Plugin WordPress ACF Mempengaruhi Hingga +2 Juta Situs
. Seperti apa sih pembahasannya? Yuk simak!

Kerentanan otorisasi yang hilang …memungkinkan penyerang terotentikasi jarak jauh untuk melihat informasi di database tanpa izin akses. Jenis kerentanan ini memungkinkan penyerang untuk mendapatkan akses ke situs pada tingkat yang biasanya dibatasi untuk pengguna dengan hak istimewa admin.

Plugin WordPress Bidang Kustom Lanjutan (ACF)

Plugin ACF WordPress adalah alat pengembangan populer yang memungkinkan pengembang menambahkan bidang khusus ke layar Edit serta menyesuaikan bagian untuk pengguna, pos, media, dan space lainnya.

Alat ACF memungkinkan pengembang untuk memperluas tema WordPress dalam banyak cara, yang menjelaskan mengapa ada jutaan instalasi aktif.

Kerentanan Otorisasi Hilang

Kerentanan otorisasi yang hilang terjadi ketika perangkat lunak seperti plugin WordPress tidak memeriksa otorisasi pengguna saat mengakses informasi tertentu.

Jenis kerentanan ini dapat menyebabkan paparan informasi sensitif dan serangan eksekusi kode jarak jauh.

Penyerang Terotentikasi Jarak Jauh

Kerentanan khusus ini mengeksploitasi pemeriksaan otorisasi yang hilang untuk pengguna yang memiliki beberapa tingkat otentikasi.

Itu berarti bahwa pengguna dengan setidaknya tingkat otentikasi editor, penulis, atau kontributor dapat mengakses hak istimewa tingkat admin untuk melihat informasi database.

Menurut informasi terbaru dari Pusat Koordinasi Tim Tanggap Darurat Komputer Jepang:

“Plugin WordPress “Bidang Kustom Lanjutan” yang disediakan oleh Scrumptious Brains mengandung kerentanan otorisasi yang hilang…

Pengguna produk ini (Editor, Penulis, Kontributor) dapat melihat informasi di database tanpa izin akses.”

Database Kerentanan Nasional Amerika Serikat telah memberinya nomor referensi CVE, CVE-2022-23183

Catatan Perubahan ACF

Changelog adalah log yang merinci semua perubahan di setiap versi perangkat lunak.

Sulit untuk mengatakan perubahan mana yang dirinci dalam changelog yang terkait dengan perbaikan kerentanan karena changelog ACF tidak secara eksplisit mengatakan bahwa ada sesuatu yang merupakan perbaikan keamanan, itu hanya melabelinya sebagai “Memperbaiki.”

Changelog untuk plugin ACF WordPress tidak secara eksplisit mencatat bahwa masalah keamanan telah diatasi.

Bagian dari changelog ACF hanya menyatakan:

“Perbaiki – ACF sekarang memvalidasi akses ke nilai bidang halaman opsi saat mengakses melalui kunci bidang dengan cara yang sama seperti nama bidang. Lihat Selengkapnya
Perbaiki – REST API sekarang memvalidasi bidang dengan benar untuk permintaan pembaruan POST”

Tautan “Lihat Selengkapnya” mengarah ke penjelasan di situs net ACF yang mengatakan:

“…Panggilan ke get_field() atau the_field() pada opsi WordPress non-ACF juga akan mengembalikan Activated Model. Namun, menggunakan fungsi tersebut untuk mengambil kembali pos, pengguna, atau meta istilah apa pun akan mengembalikan nilainya, terlepas dari apakah meta tersebut adalah bidang ACF.

…Di ACF 5.12.1, pembatasan ini sekarang juga berlaku dengan benar saat menggunakan kunci bidang untuk mengakses nilai opsi, sama seperti menggunakan nama bidang.”
“Menggunakan Fungsi ACF untuk Mengambil Knowledge Dari Luar ACF.”

Kerentanan Bidang Kustom Tingkat Lanjut Ditambal

Kerentanan ACF mempengaruhi semua versi sebelum Superior Customized Fields 5.12.1 dan Superior Customized Fields Professional 5.12.1.

Pusat Koordinasi Tim Tanggap Darurat Komputer Jepang merekomendasikan semua pengguna plugin untuk segera memperbarui ke versi ACF 5.12.1.


Semoga bermanfaat.

Leave a Reply