Plugin WordPress Yellow Pencil Visual Theme Customizer telah dihapus pada hari Senin dari repositori WordPress karena kerentanan plugin WordPress Yellow Pencil ini akan memungkinkan penyerang potensial untuk memperbarui opsi secara arbitrary pada instalasi yang rentan.
Lebih penting lagi, setelah berhasil mengeksploitasi kerentanan, penyerang berbahaya berpotensi mengubah, baik situs maupun URL beranda dengan injeksi SQL yang tidak terotentikasi.
Serangan pada Yellow Pencil merupakan bagian dari serangan berskala besar
Meskipun 30.000 situs web jelas tidak dapat diabaikan, yang membuat kerentanan ini lebih menarik adalah bahwa, menurut tim peneliti Wordfence, itu dieksploitasi oleh peretas sebagai bagian dari serangan skala besar yang dijalankan oleh aktor ancaman yang sama.
Peneliti Wordfence menjelaskan “Kami lagi-lagi melihat kesamaan antara upaya eksploitasi dan serangan terhadap kerentanan yang baru ditemukan di Social Warfare, Easy WP SMTP, dan plugin Yuzo Related Posts. Eksploitasi sejauh ini menggunakan skrip berbahaya yang diinangi pada domain, hellofromhony[.]com, yang dipecahkan menjadi 176[.]123[.]9[.]53. Alamat IP itu digunakan dalam serangan lain yang disebutkan. Kami yakin bahwa keempat kampanye serangan adalah karya aktor ancaman yang sama“.
Kerentanan yang memungkinkan serangan dalam kasus plugin Yellow Pencil Visual Theme Customizer hadir dalam file yellow-pencil.php dan itu disebabkan oleh fakta bahwa fungsi yp_remote_get_first() akan memeriksa apakah parameter permintaan yp_remote_get telah diaktifkan setiap pemuatan halaman.
Jika status parameter memeriksa, plugin akan secara otomatis meningkatkan hak istimewa akun yang digunakan menjadi administrator untuk “sisa permintaan,” memungkinkan pengguna yang tidak terotentikasi untuk melakukan tindakan yang biasanya hanya diperuntukkan bagi admin situs web.
function yp_remote_get_first(){
if(isset($_GET["yp_remote_get"])){
wp_set_current_user(1);
show_admin_bar(false);
}
}Perbaikan kerentanan plugin WordPress Yellow Pencil sudah tersedia untuk diunduh
Tim pengembangan di belakang plugin Yellow Pencil Visual Theme Customizer WordPress memperbaiki masalah pada tanggal 12 April 2019 dan sekarang menyediakan tautan unduhan untuk menerapkan perbaikan.
WaspThemes, pengembang plugin, juga mengakui bahwa ada beberapa “situs web WordPress yang terkena serangan” yang disebabkan oleh masalah keamanan di alat tampilan pengunjung, dan menyediakan dua prosedur untuk memperbaikinya:
Metode pertama:
Merestore backup database WordPress. Ini adalah metode paling aman dan cepat. Silakan hubungi penyedia server, mereka akan membantunya.
Metode kedua:
- Masuk ke database WordPress dengan phpMyAdmin melalui panel kontrol hosting
- Buka tabel wordpress_options
- Edit dua baris pertama “siteurl” dan “home” kembali ke domain yang sebenarnya, mis. https://website.com
- Klik pada nama database di panel kiri phpMyAdmin dan kemudian klik tombol search di sepanjang bilah atas dan cari di semua tabel untuk nama domain berbahaya yang diarahkan oleh situs web Anda dengan ‘ ’ di kedua sisi mis. %baddomain untuk menemukan catatan yang tersisa.
Pada saat artikel ini diterbitkan, plugin Yellow Pencil Visual Theme Customizer masih tidak tersedia di repositori WordPress.
