Pemilik situs WordPress yang menggunakan plugin Newsletter disarankan untuk memperbarui instalasi agar bisa mencegah serangan yang mengeksploitasi kerentanan baru, yang memungkinkan peretas untuk menginjeksikan backdoor, membuat akun admin, dan berpotensi mengambil alih situs web.
Plugin Newsletter telah diunduh lebih dari 12 juta kali sejak ditambahkan ke repositori plugin WordPress resmi dan sekarang sudah diinstal dalam lebih dari 300.000 situs.
Dalam sebuah laporan yang diterbitkan oleh tim Threat Intelligence Wordfence, Ram Gall mengatakan bahwa ia menemukan dua kerentanan keamanan tambahan saat menganalisis perbaikan yang sebelumnya diterbitkan oleh pengembang plugin pada 13 Juli 2020.
Tim Wordfence menemukan kerentanan reflected Cross-Site Scripting (XSS) dan kerentanan PHP Object Injection, yang keduanya sudah diperbaiki sepenuhnya oleh tim pengembang plugin Newsletter pada 17 Juli 2020 dalam rilisan versi 6.8.3, dua hari setelah laporan kerentanan dikirim pada 15 Juli 2020.
Dua kerentanan ini dinilai sebagai masalah keamanan dengan keparahan sedang dan tinggi, yang dapat memungkinkan penyerang untuk menambahkan akun admin dan menginjeksikan backdoor setelah berhasil mengeksploitasi masalah reflected XSS di situs yang menjalankan versi rentan dari plugin Newsletter.
Selain itu, kerentanan PHP Object Injection “dapat digunakan untuk menginjeksikan objek PHP yang mungkin diproses oleh kode dari plugin atau tema lain dan digunakan untuk mengeksekusi kode arbitrer, mengunggah file, atau sejumlah teknik lain yang dapat menyebabkan pengambilalihan situs”.
Baca Juga: “Kerentanan Dalam Plugin WordPress Ini Memungkinkan Untuk Pengambilalihan Akun Hosting“
Setidaknya 150.000 situs masih rentan
Meskipun Newsletter 6.8.3, versi plugin yang dikirimkan dengan perbaikan untuk dua kerentanan tersebut sudah dirilis pada 17 Juli 2020, versi baru ini hanya diunduh 151.449 kali sejak pertama kali dirilis menurut data riwayat unduhan, termasuk pembaruan dan pemasangan baru.
Ini berarti setidaknya 150.000 situs WordPress dengan instalasi Newsletter aktif masih berpotensi terkena serangan potensial jika peretas mulai mengeksploitasi kerentanan ini.
Pengguna plugin Newsletter sangat disarankan untuk segera memperbarui plugin ke versi 6.8.3 agar bisa memblokir serangan yang dirancang untuk mengeksploitasi kerentanan ini.
