Fatal! Ditemukan Celah Keamanan Baru di Plugin WordPress untuk WooCommerce

Ilustrasi berita

Fatal! Ditemukan Celah Keamanan Baru di Plugin WordPress untuk WooCommerce

 

Kerentanan fatal telah ditemukan di plugin WordPress Abandoned Cart Lite untuk WooCommerce yang diinstal di lebih dari 30.000 situs web.

 

 

Baca juga : Inilah Kota Di Indonesia yang Sering Terkena Serangan Siber, Riau jadi yang Terbanyak!

 

“Kerentanan ini memungkinkan penyerang untuk mendapatkan akses ke akun pengguna yang meninggalkan keranjang belanja mereka. Ini biasanya pelanggan, tetapi dapat meluas ke pengguna tingkat lanjut lainnya jika kondisi yang tepat terpenuhi,” kata Defiant’s Wordfence dalam sebuah pernyataan kepada The Hacker News.

Dikutip dari The Hacker News, bug yang dilacak sebagai CVE-2023-2986 menerima peringkat keparahan 9,8/10 dari sistem peringkat CVSS. Ini memengaruhi semua versi plugin, termasuk versi 5.14.2 dan sebelumnya. Inti masalahnya adalah kasus bypass autentikasi yang dibuat oleh perlindungan kriptografi yang tidak memadai saat pelanggan diberi tahu saat mereka meninggalkan keranjang belanja di situs e-commerce tanpa menyelesaikan pembelian.

Secara khusus, kunci enkripsi di-hardcode ke dalam plugin, memungkinkan penyerang masuk sebagai pengguna dengan gerobak yang ditinggalkan. “Namun, ada kemungkinan bahwa dengan mengeksploitasi kerentanan bypass otentikasi, penyerang dapat memperoleh akses ke akun pengguna administratif atau akun pengguna tingkat tinggi lainnya setelah mencoba fungsionalitas keranjang yang ditinggalkan,” kata peneliti keamanan István Márton kepada The Hacker News.

Setelah pengungkapan yang bertanggung jawab pada 30/5/2023, pengembang ekstensi Tyche Softwares memperbaiki kerentanan pada 6/6/2023 dengan versi 5.15.0. Versi Abandoned Cart Lite for WooCommerce saat ini adalah 5.15.2.

 

Baca juga : Ratusan Ribu Akun ChatGPT Dicuri Malware, Lebih Dari 2000 Akun Dari Indonesia

 

Pengumuman tersebut muncul ketika Wordfence menemukan cacat bypass autentikasi lainnya, yang menyebabkan plugin StylemixThemes “Booking Calendar | Appointment Booking | BookIt” terpengaruh (CVE-2023-2834, skor CVSS:9.8) dengan lebih dari 10.000 instalasi WordPress.

“Ini karena autentikasi pengguna yang tidak memadai saat memesan janji temu dengan plugin”, jelas Márton. “Ini memungkinkan penyerang yang tidak diautentikasi untuk masuk sebagai pengguna situs yang ada, seperti administrator, jika mereka memiliki akses ke email.”

Bug ini dapat  memengaruhi versi 2.3.7 dan sebelumnya telah diperbaiki pada versi 2.3.8 yang dirilis pada 13 Juni 2023. Sehingga diharapkan untuk seluruh pengguna dapat melakukan update ke versi yang terbaru.

Andhika R.

Andhika R.

Digital Marketing at Fourtrezz
Semua Berita
Artikel Teratas

Peran Audit IT dalam Memenuhi Kepatuhan Regulasi

Baca Selengkapnya

Cara Audit IT Dapat Mencegah Kebocoran Data di Perusahaan Anda

Baca Selengkapnya

Langkah-Langkah Utama dalam Proses Audit IT

Baca Selengkapnya

PT Tiga Pilar Keamanan

Grha Karya Jody – Lantai 3
Jl. Cempaka Baru No.09, Karang Asem,
Condongcatur, Depok, Sleman,
D.I. Yogyakarta 55283

Hubungi Kami

Layanan Kami

Unduh Profil Perusahaan

Partner Pendukung

Youtube Pinterest Linkedin Facebook-f Instagram Tiktok

All rights reserved.

PT Tiga Pilar Keamanan

Grha Karya Jody – Lantai 3
Jl. Cempaka Baru No.09, Karang Asem,
Condongcatur, Depok, Sleman,
D.I. Yogyakarta 55283

Hubungi Kami

Unduh Profil Perusahaan

Layanan Kami

Partner Pendukung

:
:
:
:
Youtube Pinterest Linkedin Facebook-f Instagram Tiktok

All rights reserved.

Dapatkan Penawaran Kami

Silakan isi formulir ini dan tim kami akan segera menghubungi Anda kembali.
Dapatkan Penawaran