5000 Lebih Website Beresiko Dieksploitasi Karena Plugin TheCartPress E-commerce

TheCartPress

Empat kerentanan telah ditemukan pada plugin TheCartPress e-commerce untuk platform WordPress, yang pada saat ini telah terinstal pada 5000 lebih website, menurut statistik dari WordPress.

Kelemahan dari eksploitasi ini dapat memungkinkan para penyerang untuk menjalankan kode PHP yang berada di server, sehingga penyerang dapat memperoleh informasi sensitif, dikatakan oleh peneliti.

Patch/Update belum tersedia

Para ahli dari laboratorium penelitian keamanan High-Tech Bridge Security menemukan bahwa komponen dua bug cross-site scripting (XSS), dan satu file PHP inklusi dan kelemahan dalam proses keamanan kontrol akses yang menangani penggunaan sumber daya tertentu.

Para pembuat plugin telah dihubungi berkali-kali mulai tanggal April 8 melalui email dan dukungan forum, tetapi tidak ada jawaban yang diterima. Administrator website dianjurkan untuk menghapus plugin tersebut karena belum ada patch/update yang akan muncul dalam waktu dekat, karena para pengembang mengumumkan bahwa TheCartPress tidak lagi didukung mulai 1 Juni 2015 ini.

Peneliti High-Tech Bridge mengatakan bahwa untuk masalah inklusi file PHP, yang memungkinkan menambahkan data tertentu melalui urutan ditektori traversal, penyerang terlebih dahulu akan memerlukan hak sebagai administrator, nampaknya bahwa kerentanan CSRF (Cross-Site Request Forgery) juga ada dan dapat digunakan terhadap akun administrator tersebut.

Karena kurangnya kode sanitasi, website berbasis WordPress dengan plugin TheCartPress rentan terhadap bug Cross-Site Scripting (XSS), yang dapat diinisiasi melalui alamat pengiriman dan alamat penagihan pada bagian parameter HTTP POST.

Pengguna yang tidak memiliki authentifikasi dapat menginjeksi kode berbahaya HTML dan JavaScript melalui cara ini, dan menyimpannya dalam aplikasi database untuk mendapatkan akses ke pembelian yang dilakukan oleh pengguna lain, berdasarkan nomor identifikasi yang mereka pesan (id dapat diprediksi karena berurutan).

Peneliti High-Tech Bridge mengatakan beberapa kerentanan XSS juga ada di TheCartPress versi 1.3.9, versi terbaru dari plugin ini. Sehingga bisa dimanfaatkan untuk menipu tanpa dikonfirmasi terlebih dulu oleh administrator untuk mengakses link berbahaya yang dapat mengeksekusi kode dalam konteks website.

Karena pembuat plugin ini belum menanggapi pengungkapan kerentanan oleh peneliti keamanan, rincian teknis bersama dengan kode bukti, maka saat ini tersedia untuk umum.

Add a Comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

This site uses Akismet to reduce spam. Learn how your comment data is processed.