Blog Gratisan

Sembilan Plugin WordPress Mengekspos Lebih Dari 1,3 Juta Situs Untuk Dieksploitasi

Halo semua, kali ini kita akan membahas tentang Sembilan Plugin WordPress Mengekspos Lebih Dari 1,3 Juta Situs Untuk Dieksploitasi

Seperti apa sih pembahasannya? Yuk simak!

Database Kerentanan Pemerintah Amerika Serikat dan peneliti keamanan WordPress menerbitkan peringatan kerentanan plugin WordPress. Di antara plugin tersebut, sembilan plugin paling populer memengaruhi lebih dari 1,3 juta situs internet.

Kerentanan di Sembilan Plugin WordPress

Meskipun ada lebih banyak plugin yang ditemukan rentan, sembilan plugin paling populer memengaruhi lebih dari 1,3 juta situs internet. Kerentanan dinilai

Berikut ini adalah daftar sembilan plugin yang rentan:

  1. Manajer Kode Header Footer 300.000+ instalasi
  2. Penyisipan Iklan – Pengelola Iklan & Iklan AdSense 200.000+ pemasangan
  3. Plugin Popup Builder WordPress 200.000+ instalasi
  4. Keamanan Anti-Malware dan Brute-Drive Firewall 200.000+ instalasi
  5. Perlindungan Penyalinan Konten WP & Tanpa Klik Kanan 100.000+ instalasi
  6. Pencadangan Foundation Knowledge untuk WordPress 100.000+ instalasi
  7. GiveWP – Plugin Donasi dan Platform Penggalangan Dana 100.000+ instalasi
  8. Unduh Manajer 100.000+ instalasi
  9. Plugin WordPress Pembersih Database Tingkat Lanjut 80.000+ instalasi

Plugin WordPress Pengelola Kode Header Footer

Plugin WordPress Header Footer Code Supervisor ditemukan oleh peneliti keamanan Wordfence memiliki kerentanan Tercermin Cross-Web site Scripting.

Kerentanan mengharuskan peretas untuk mengelabui administrator agar mengeklik tautan atau tindakan lain agar rentan terhadap pengambilalihan situs penuh.

Para peneliti mencatat bahwa karena plugin ini memengaruhi space sensitif situs WordPress untuk menambahkan kode ke situs internet, berbagai tindakan jahat dapat meluas hingga menambahkan pintu belakang dan menyerang pengunjung situs.

Penerbit direkomendasikan oleh Wordfence untuk memperbarui instalasi mereka ke setidaknya versi 1.1.17.

Penyisipan Iklan – Pengelola Iklan & Iklan AdSense (Versi Free of charge dan Professional)

Penyisipan Iklan – Pengelola Iklan & Iklan AdSense dilaporkan oleh WPScan juga memiliki kerentanan yang dapat menyebabkan eksploitasi Skrip Lintas Situs yang Tercermin.

Penerbit disarankan untuk memperbarui setidaknya ke versi 2.7.10.

Plugin ini mengandung kerentanan yang dapat menyebabkan eksploitasi injeksi SQL.

Menurut Database Kerentanan Nasional:

“Plugin WordPress Popup Builder sebelum 4.0.7 tidak memvalidasi dan benar-benar lolos dari parameter orderby dan order sebelum menggunakannya dalam pernyataan SQL di dasbor admin, yang dapat memungkinkan pengguna dengan hak istimewa tinggi untuk melakukan injeksi SQL”

Penerbit disarankan untuk memperbarui setidaknya versi 4.0.7 dari plugin WordPress.

Keamanan Anti-Malware dan Firewall Brute-Drive

Plugin WordPress ini juga mengandung kerentanan skrip Tercermin Lintas Situs. Penyerang harus memiliki kredensial tingkat admin untuk melakukan serangan.

Penerbit disarankan untuk memperbarui setidaknya ke versi 4.20.94.

Perlindungan Penyalinan Konten WP & Tanpa Klik Kanan

Plugin WordPress ini ditemukan oleh safety peneliti di Patchstack yang melaporkan plugin memiliki kerentanan Pemalsuan Permintaan Lintas Situs (CSRF).

Penerbit disarankan untuk memperbarui setidaknya ke versi 3.4.5.

Cadangan Foundation Knowledge untuk WordPress

Peneliti keamanan di WPScan melaporkan kerentanan SQL Injection yang memengaruhi Cadangan Database untuk plugin WordPress yang menangani bagian paling sensitif dari setiap instalasi WordPress, database.

Catatan WPScan:

“Plugin tidak membersihkan dan keluar dari parameter fragmen dengan benar sebelum menggunakannya dalam pernyataan SQL di dasbor admin, yang mengarah ke masalah injeksi SQL”

Penerbit disarankan oleh Foundation Knowledge Kerentanan Nasional untuk memperbarui Cadangan Foundation Knowledge untuk plugin WordPress ke setidaknya versi 2.5.1.

GiveWP – Plugin Donasi dan Platform Penggalangan Dana

Plugin Donasi GiveWP ditemukan mengandung kerentanan Skrip Lintas Situs yang Tercermin. Penerbit disarankan untuk memperbarui setidaknya versi 2.17.3 dari plugin.

Unduh Pengelola Plugin WordPress

Plugin ini berisi eksploitasi SQL Injection yang dapat menyebabkan serangan Skrip Lintas Situs Tercermin. Penerbit disarankan untuk memperbarui setidaknya ke versi 3.2.34.

Plugin WordPress Pembersih Database Tingkat Lanjut

Plugin ini ditemukan oleh peneliti keamanan mengandung masalah yang dapat menyebabkan serangan Skrip Lintas Situs Tercermin. Penerbit disarankan untuk memperbarui setidaknya plugin versi 3.0.4.

Beberapa Plugin WordPress Rentan

Ada banyak plugin yang dilaporkan memiliki kerentanan. Namun kesembilan ini adalah plugin yang paling populer.

Semua plugin telah menerima tambalan yang menutup kerentanan tetapi terserah kepada penerbit untuk memastikan bahwa mereka menggunakan versi terbaru untuk menjaga situs internet dan pengunjung situs mereka tetap aman.

kutipan

Manajer Kode Header Footer
https://www.wordfence.com/blog/2022/02/reflected-xss-in-header-footer-code-manager/

Penyisipan Iklan – Pengelola Iklan & Iklan AdSense
https://nvd.nist.gov/vuln/detail/CVE-2022-0288

Plugin WordPress Pembuat Popup
https://nvd.nist.gov/vuln/detail/CVE-2022-0228

Keamanan Anti-Malware dan Firewall Brute-Drive
https://nvd.nist.gov/vuln/detail/CVE-2021-25101
https://wpscan.com/vulnerability/5fd0380c-0d1d-4380-96f0-a07be5a61eba

Perlindungan Penyalinan Konten WP & Tanpa Klik Kanan
https://nvd.nist.gov/vuln/detail/CVE-2022-23983

Cadangan Foundation Knowledge untuk WordPress
https://nvd.nist.gov/vuln/detail/CVE-2022-0255

GiveWP – Plugin Donasi dan Platform Penggalangan Dana
https://nvd.nist.gov/vuln/detail/CVE-2021-25100
https://nvd.nist.gov/vuln/detail/CVE-2021-25099

Manajer unduhan
https://nvd.nist.gov/vuln/detail/CVE-2021-25069
https://wpscan.com/vulnerability/4ff5e638-1b89-41df-b65a-f821de8934e8

Plugin WordPress Pembersih Database Tingkat Lanjut
https://nvd.nist.gov/vuln/detail/CVE-2021-24921


Semoga bermanfaat.

Leave a Reply