Kerentanan Plugin ProfilePress WordPress Mempertaruhkan Eksekusi Kode

  • Whatsapp

Perhatian, admin WordPress! Banyak kerentanan keamanan ditemukan di plugin ProfilePress WordPress yang memungkinkan pengambilalihan situs secara lengkap!. patch keluar, jika terpengaruh pastikan Anda memperbarui situs Anda dengan versi plugin terbaru.

Beberapa Kerentanan Plugin WordPress ProfilePress Ditemukan

Para peneliti dari tim Wordfence telah membagikan detail tentang kerentanan di plugin ProfilePress WordPress baru-baru ini pos.

Seperti yang dijelaskan, mereka menemukan beberapa masalah keamanan kritis di plugin ini – sebelumnya dikenal sebagai WP User Avatar. Plugin saat ini menawarkan lebih dari 400.000 instalasi aktif, yang berarti kerentanan berpotensi mempertaruhkan ribuan situs web.

Secara khusus, para peneliti menemukan empat kerentanan yang berbeda – semuanya menerima peringkat keparahan kritis dengan skor CVSS 9,8. Ini termasuk cacat eskalasi hak istimewa yang tidak diautentikasi (CVE-2021-34621), eskalasi hak istimewa yang diautentikasi (CVE-2021-34622), unggahan file arbitrer dalam komponen pengunggah gambar (CVE-2021-34623), dan unggahan file arbitrer di komponen pengunggah file (CVE-2021-34624).

Mengeksploitasi kerentanan ini dapat membuat musuh mengunggah file sewenang-wenang ke situs target, mendapatkan akses admin, dan sepenuhnya mengambil alih situs. Eksploitasi ini bahkan akan berfungsi jika situs telah menonaktifkan pendaftaran pengguna – itu juga, tanpa memerlukan otentikasi.

Patch Diluncurkan

Wordfence menemukan plugin versi 3.0 – 3.1.3 rentan terhadap kekurangan tersebut.

Menyusul penemuan bug, para peneliti menghubungi pengembang untuk melaporkan masalah tersebut. Akibatnya, para pengembang menambal semua kerentanan dengan merilis plugin versi 3.1.4, seperti yang terlihat melalui log perubahan.

Meskipun demikian, setelah rilis ini, pengembang telah merilis perbaikan lain juga dengan versi berikutnya. Oleh karena itu, yang terbaru adalah plugin ProfilePRess versi 3.1.8.

Oleh karena itu, semua admin WordPress yang menjalankan plugin ini di situs mereka harus memperbarui paling awal. Ini sangat penting mengingat seringnya eksploitasi plugin WordPress yang rentan untuk menargetkan situs web yang berbeda. Menjaga semua plugin diperbarui adalah strategi utama untuk menangkis sebagian besar ancaman dunia maya terhadap situs web.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *