Masalah tersebut, yang dilacak sebagai CVE-2024-27956 (skor CVSS 9,8), digambarkan sebagai kelemahan injeksi SQL (SQLi) dalam penanganan plugin terhadap autentikasi pengguna dalam satu file, sehingga memungkinkan penyerang memasukkan kode ke dalam database situs dan mendapatkan administrator hak istimewa.
Penyerang dapat melewati mekanisme autentikasi dengan mengirimkan permintaan khusus untuk mengeksekusi kueri basis data dan membuat akun administrator baru yang memungkinkan mereka mengunggah file berbahaya seperti pintu belakang dan shell web.
Untuk menghindari deteksi, para penyerang terlihat mengganti nama file plugin yang rentan, memastikan bahwa mereka dapat mempertahankan akses ke situs yang disusupi, sekaligus mencegah pelaku ancaman lain mengeksploitasi kerentanan yang sama.
“Karena penyerang dapat menggunakan hak istimewa tinggi yang mereka peroleh untuk memasang plugin dan tema ke situs, kami memperhatikan bahwa, di sebagian besar situs yang disusupi, pelaku jahat memasang plugin yang memungkinkan mereka mengunggah file atau mengedit kode”, catatan WPScan.
Dengan mengeksploitasi kerentanan ini, penyerang berpotensi mengambil alih situs web yang terkena dampak, platform pemindaian keamanan memperingatkan.
Berdampak pada versi Otomatis hingga 3.92.0, CVE-2024-27956 diungkapkan secara publik oleh Patchstack pada 13 Maret. Sejak itu, WPScan telah melihat lebih dari 5 juta upaya untuk mengeksploitasi bug tersebut.
Masalah ini telah diatasi dalam versi Otomatis 3.92.1, yang juga mengatasi pemalsuan permintaan sisi server dengan tingkat keparahan kritis (SSRF) dan kelemahan pengunduhan file arbitrer yang dilacak sebagai CVE-2024-27954, dan pemalsuan permintaan lintas situs dengan tingkat keparahan tinggi ( Bug CSRF) dilacak sebagai CVE-2024-27955, data dari Defiant menunjukkan.
Eksploitasi kerentanan ini yang berhasil memungkinkan penyerang mengubah informasi dari layanan internal, mengakses file sewenang-wenang di server, dan meningkatkan hak istimewa.
Sebuah plugin premium dari ValvePress, Otomatis memungkinkan pengguna memposting secara otomatis dari situs web mana pun ke WordPress, termasuk dari RSS feed. Plugin ini memiliki lebih dari 38.000 pelanggan yang membayar.
Pengguna WordPress Otomatis disarankan untuk memperbarui instalasi mereka sesegera mungkin.
Sumber:
https://www.securityweek.com/critical
-wordpress-automatic-plugin-vulnerability
-exploited-to-inject-backdoors/
Penyerang dapat melewati mekanisme autentikasi dengan mengirimkan permintaan khusus untuk mengeksekusi kueri basis data dan membuat akun administrator baru yang memungkinkan mereka mengunggah file berbahaya seperti pintu belakang dan shell web.
Untuk menghindari deteksi, para penyerang terlihat mengganti nama file plugin yang rentan, memastikan bahwa mereka dapat mempertahankan akses ke situs yang disusupi, sekaligus mencegah pelaku ancaman lain mengeksploitasi kerentanan yang sama.
“Karena penyerang dapat menggunakan hak istimewa tinggi yang mereka peroleh untuk memasang plugin dan tema ke situs, kami memperhatikan bahwa, di sebagian besar situs yang disusupi, pelaku jahat memasang plugin yang memungkinkan mereka mengunggah file atau mengedit kode”, catatan WPScan.
Dengan mengeksploitasi kerentanan ini, penyerang berpotensi mengambil alih situs web yang terkena dampak, platform pemindaian keamanan memperingatkan.
Berdampak pada versi Otomatis hingga 3.92.0, CVE-2024-27956 diungkapkan secara publik oleh Patchstack pada 13 Maret. Sejak itu, WPScan telah melihat lebih dari 5 juta upaya untuk mengeksploitasi bug tersebut.
Masalah ini telah diatasi dalam versi Otomatis 3.92.1, yang juga mengatasi pemalsuan permintaan sisi server dengan tingkat keparahan kritis (SSRF) dan kelemahan pengunduhan file arbitrer yang dilacak sebagai CVE-2024-27954, dan pemalsuan permintaan lintas situs dengan tingkat keparahan tinggi ( Bug CSRF) dilacak sebagai CVE-2024-27955, data dari Defiant menunjukkan.
Eksploitasi kerentanan ini yang berhasil memungkinkan penyerang mengubah informasi dari layanan internal, mengakses file sewenang-wenang di server, dan meningkatkan hak istimewa.
Sebuah plugin premium dari ValvePress, Otomatis memungkinkan pengguna memposting secara otomatis dari situs web mana pun ke WordPress, termasuk dari RSS feed. Plugin ini memiliki lebih dari 38.000 pelanggan yang membayar.
Pengguna WordPress Otomatis disarankan untuk memperbarui instalasi mereka sesegera mungkin.
Sumber:
https://www.securityweek.com/critical
-wordpress-automatic-plugin-vulnerability
-exploited-to-inject-backdoors/