Beberapa hari yang lalu, saya mengungkapkan tentang kerentanan WP REST API di WordPress. Kerentanan tersebut secara diam-diam di patch oleh pihak perusahaan sebelum bug ini dieksploitasi oleh pihak yang tidak bertanggung jawab.
Para SysAdmin Bermalas-malasan Untuk Merawat Sistemnya
Namun, setelah upaya pihak WordPress melindungi pelanggannya, ribuan sysadmin tidak memperbarui versi situs web WordPress mereka. Yang mana masih rentan terhadap kerentanan kritis ini. Dan alhasil, penyerang pun berhasil mengeksploitasi kerentanan ini.
Padahal, WordPress memberikan fitur update otomatis untuk versi yang rentan. Tapi beberapa sysadmin menonaktifkan layanan dan fitur tersebut. Bahkan, blog berita OpenSUSE, salah satu distribusi terkenal dari Linux juga terkena dampaknya dan berhasil diretas.
Video Demonstrasion Proof of Concept Kerentanan WP REST API:
https://www.youtube.com/watch?v=dO7krLkWXA0
