Kerentanan WordPress Dalam Shortcodes Ultimate Dampak 700.000 Situs

Kerentanan WordPress Dalam Shortcodes Ultimate Dampak 700.000 Situs

Database Kerentanan Nasional (NVD) pemerintah Amerika Serikat menerbitkan sebuah nasihat tentang plugin Shortcodes Ultimate WordPress, memperingatkan bahwa itu ditemukan mengandung kerentanan Pemalsuan Permintaan Lintas Situs.

Shortcodes Ultimate adalah plugin WordPress yang sangat populer yang memiliki lebih dari 700.000 instalasi aktif.

Kerentanan mempengaruhi versi plugin yang lebih lama dari versi 5.12.2 saat ini.

Kerentanan Pemalsuan Permintaan Lintas Situs

Pemalsuan Permintaan Lintas Situs, yang biasa disebut sebagai CSRF, adalah jenis kerentanan yang dalam kasus terburuk dapat menyebabkan pengambilalihan situs web sepenuhnya.

Jenis kerentanan ini umumnya disebabkan oleh menargetkan cacat pada perangkat lunak yang dapat memicu perubahan, yang kemudian dapat menyebabkan konsekuensi yang tidak diinginkan.

Serangan yang berhasil umumnya bergantung pada pengguna, misalnya dengan hak administratif, mengklik tautan dan secara tidak sengaja mengungkapkan informasi seperti cookie sesi yang kemudian dapat digunakan untuk menyamar sebagai orang tersebut.

Jenis kerentanan ini bergantung pada rekayasa sosial, yang memanipulasi pengguna akhir untuk menyelesaikan tindakan yang kemudian memanfaatkan kerentanan plugin.

Menurut Buka Proyek Keamanan Aplikasi Web (OWASP):

“CSRF adalah serangan yang menipu korban untuk mengirimkan permintaan jahat.

Ini mewarisi identitas dan hak istimewa korban untuk melakukan fungsi yang tidak diinginkan atas nama korban…

Untuk sebagian besar situs, permintaan browser secara otomatis menyertakan kredensial apa pun yang terkait dengan situs, seperti cookie sesi pengguna, alamat IP, kredensial domain Windows, dan sebagainya.

Oleh karena itu, jika pengguna saat ini diautentikasi ke situs, situs tidak akan memiliki cara untuk membedakan antara permintaan palsu yang dikirim oleh korban dan permintaan sah yang dikirim oleh korban.

Database Kerentanan Nasional (NVD)

Database Kerentanan Nasional menerbitkan hanya beberapa detail tentang kerentanan. Saat ini tidak ada rincian lengkap dari kerentanan itu sendiri.

Penasihat NVD menerbitkan yang berikut::

“Kerentanan Pemalsuan Permintaan Lintas Situs (CSRF) di plugin Shortcodes Ultimate <= 5.12.0 di WordPress yang mengarah ke perubahan pengaturan preset plugin.”

Resmi Shortcodes Ultimate GitHub changelog juga tidak jelas, menjelaskan pembaruan untuk memperbaiki kerentanan:

“### 5.12.1

**Rilis keamanan**

Pembaruan ini memperbaiki kerentanan keamanan di pembuat kode pendek. Terima kasih kepada Dave John karena telah menemukannya.”

Sementara itu repositori plugin WordPress changelog menjelaskans:

“Memperbaiki masalah dengan Preset Generator Kode Pendek, diperkenalkan di pembaruan sebelumnya”

Changelog di atas tampaknya salah mengeja nama peneliti keamanan, yang dieja dengan benar Dave Jong, CTO dari Patchstackorang yang dikreditkan dengan menemukan dan melaporkan kerentanan.

Tindakan yang Direkomendasikan

Penerbit WordPress yang saat ini menggunakan Plugin Shortcodes harus mempertimbangkan untuk memperbarui ke versi terbaru, yang pada saat penulisan saat ini adalah versi 5.12.2.

kutipan

Baca Nasihat Database Kerentanan Nasional

Detail CVE-2022-38086

Baca Pengumuman Patchstack

Plugin WordPress Shortcodes Ultimate <= 5.12.0 – Kerentanan Pemalsuan Permintaan Lintas Situs (CSRF)

Gambar Unggulan oleh Shutterstock/Cookie Studio

Share

Leave a Reply

Your email address will not be published. Required fields are marked *