Blog Gratisan

Kerentanan WordPress di Addons Esensial untuk Elementor

Halo semua, kali ini kita akan membahas tentang Kerentanan WordPress di Addons Esensial untuk Elementor

Seperti apa sih pembahasannya? Yuk simak!

Plugin Important Addons for Elementor WordPress, dengan lebih dari satu juta pengguna baru-baru ini menambal beberapa kerentanan yang memungkinkan penyerang jahat menjalankan kode arbitrer di situs internet WordPress yang ditargetkan.

Kerentanan Serangan LFI ke RCE

Menurut situs internet NIST Pemerintah AS, kerentanan pada plugin Important Addons for Elementor memungkinkan penyerang meluncurkan serangan Penyertaan File Lokal, yang merupakan eksploitasi yang memungkinkan penyerang menyebabkan instalasi WordPress mengungkapkan informasi sensitif dan membaca sewenang-wenang file.

Dari sana serangan tersebut bisa mengarah pada serangan yang lebih serius yang disebut dengan Distant Code Execution (RCE). Eksekusi Kode Jarak Jauh adalah bentuk serangan yang sangat serius di mana peretas dapat menjalankan kode arbitrer di situs WordPress dan menyebabkan berbagai kerusakan, termasuk pengambilalihan situs secara penuh.

Sebagai contoh, serangan Penyertaan File Lokal dapat dilakukan dengan mengubah parameter URL menjadi sesuatu yang dapat mengungkapkan informasi sensitif.

Ini dimungkinkan karena plugin Important Addons for Elementor WordPress tidak memvalidasi dan membersihkan information dengan benar.

Sanitasi Information adalah proses untuk membatasi jenis informasi yang mungkin diinput. Secara sederhana, sanitasi information dapat dianggap sebagai kunci yang hanya mengizinkan enter tertentu, kunci dengan pola tertentu. Kegagalan untuk melakukan sanitasi information dapat dianalogikan dengan kunci yang memungkinkan kunci apa saja untuk membukanya.

Menurut Pemerintah Amerika Serikat Database Kerentanan Nasional:

“Plugin Important Addons for Elementor WordPress sebelum 5.0.5 tidak memvalidasi dan membersihkan beberapa information template sebelum mereka menyertakan pernyataan, yang dapat memungkinkan penyerang yang tidak terautentikasi untuk melakukan serangan Penyertaan File Lokal dan membaca file arbitrer di server, ini juga dapat menyebabkan ke RCE melalui file yang diunggah pengguna atau teknik LFI ke RCE lainnya.”

Situs keamanan WPScan yang pertama kali ditemukan menemukan dan laporkan kerentanan menerbitkan deskripsi berikut:

“Plugin tidak memvalidasi dan membersihkan beberapa information template sebelum mereka memasukkan pernyataan, yang dapat memungkinkan penyerang yang tidak diautentikasi untuk melakukan serangan Penyertaan File Lokal dan membaca file arbitrer di server, ini juga dapat menyebabkan RCE melalui file yang diunggah pengguna atau LFI lainnya. untuk teknik RCE.”

Addons Penting untuk Elementor Ditambal

Kerentanan tersebut diumumkan di situs Database Kerentanan Nasional pada 1 Februari 2022.

Tetapi plugin Important Addons for Elementor versi “Lite” telah menambal kerentanan sejak akhir Januari, menurut changelog Important Addons Lite.

Changelog adalah file log dari semua perubahan yang dibuat untuk setiap versi program perangkat lunak, seperti plugin WordPress, yang diperbarui. Ini adalah catatan dari segala sesuatu yang telah diubah.

Tujuan dari changelog adalah sebagai catatan untuk apa yang diubah serta untuk memberikan transparansi kepada pengguna perangkat lunak, yang dapat meninjaunya sebelum memperbarui dan memutuskan apakah pembaruan itu penting atau untuk mengambil beberapa waktu dan menguji plugin pada situs pementasan untuk melihat apakah perubahan tersebut berdampak pada plugin lain dan tema yang digunakan.

Anehnya, changelog untuk versi Professional hanya menyebutkan “Beberapa perbaikan dan peningkatan bug kecil” tetapi tidak menyebutkan perbaikan keamanan.

Tangkapan layar dari Addons Esensial Untuk Elementor Professional Changelog

Changelog untuk Addons Esensial untuk Plugin Elementor

Mengapa informasi perbaikan keamanan hilang dari versi Professional dari plugin WordPress?

Changelog untuk versi Lite dari Plugin Important Addons for Elementor Lite

Changelog untuk versi Lite yang mencakup versi 5.0.3 hingga 5.0.5 telah diperbarui dari 25 – 28 Januari 2022 untuk memperbaiki masalah berikut:

  • Memperbaiki: Sanitasi parameter di widget dinamis
  • Peningkatan: Jalur file template yang disanitasi untuk Peningkatan Keamanan
  • Peningkatan: Keamanan yang Ditingkatkan untuk mencegah penyertaan file yang tidak diinginkan dari server jarak jauh melalui permintaan ajax

Changelog mencatat bahwa hari ini pada 2 Februari 2022 peningkatan keamanan berikut dilakukan untuk versi 5.0.6:

  • Peningkatan: Sanitasi information, validasi & pelolosan untuk Peningkatan Keamanan

Apa Versi Paling Aman dari Plugin Important Addons for Elementor?

Foundation Information Kerentanan Pemerintah AS belum menetapkan skor keparahan, jadi saat ini tidak jelas seberapa buruk kerentanannya.

Namun, kerentanan eksekusi kode jarak jauh sangat memprihatinkan sehingga mungkin ide yang baik untuk memperbarui ke versi terbaru dari plugin Important Addons.

Situs internet WPScan menyatakan bahwa kerentanan telah diperbaiki di Important Addons for Elementor Plugin versi 5.0.5.

Namun log perubahan plugin untuk versi Lite dari plugin menyatakan bahwa versi 5.0.6 memperbaiki masalah sanitasi information tambahan hari ini, pada 22 Februari 2022.

Jadi mungkin lebih bijaksana untuk memperbarui ke setidaknya versi 5.0.6.

kutipan

Baca Laporan Kerentanan WPScan

Add-on Penting untuk Elementor <5.0.5 – LFI Tidak Diautentikasi

Baca Laporan Pemerintah Amerika Serikat tentang Kerentanan

Detail CVE-2022-0320

Baca Addons Penting untuk Elementor Plugin Lite Changelog

Addons Penting untuk Perubahanlog Plugin Elementor Lite

Baca Changelog untuk Addons Esensial untuk Elementor Professional

Addons Penting untuk Elementor Pro Changelog


Semoga bermanfaat.

Leave a Reply