cover | topik.id |
Hal kerentanan itu ditemukan pada tanggal 6 November 2024 oleh peneliti Wordfence, kelemahan tersebut memungkinkan penyerang untuk melewati autentikasi dan memperoleh akses administratif karena penanganan verifikasi pengguna yang salah.
Kerentanan tersebut, yang diidentifikasi sebagai CVE-2024-10924 dengan skor CVSS 9,8, berasal dari autentikasi pengguna yang tidak tepat dalam tindakan REST API dua faktor plugin tersebut. Secara khusus, fungsi check_login_and_get_user() gagal menolak parameter 'login_nonce' yang tidak valid, dan malah memicu fungsi authenticate_and_redirect(), yang mengizinkan akses berdasarkan 'user_id' saja. Kelalaian ini menyebabkan login tidak sah saat 2FA diaktifkan, sebuah opsi yang diaktifkan oleh banyak administrator situs untuk keamanan tambahan.
"Plugin Really Simple Security (Gratis, Pro, dan Pro Multisite) untuk WordPress rentan terhadap pengabaian autentikasi dalam versi 9.0.0 hingga 9.1.1.1. Hal ini disebabkan oleh penanganan kesalahan pemeriksaan pengguna yang tidak tepat dalam tindakan REST API dua faktor dengan fungsi 'check_login_and_get_user," tulis Wordfence di laman resminya,dikutip Senin (25/11/2024).
Wordfence menyebut masalah ini sebagai salah satu masalah paling serius dalam 12 tahun sejarahnya, dengan menekankan risiko eksploitasi otomatis berskala besar . Serangan semacam itu dapat memungkinkan pelaku ancaman untuk dengan mudah menguasai kendali administratif situs-situs populer dan menggunakannya untuk aktivitas jahat lebih lanjut.
"Hal ini memungkinkan penyerang yang tidak diautentikasi untuk masuk sebagai pengguna yang ada di situs, seperti administrator, saat pengaturan "Autentikasi Dua Faktor" diaktifkan (dinonaktifkan secara default)," terangnya.
Baik versi gratis maupun Pro dari Really Simple Security, termasuk Pro Multisite, dari versi 9.0.0 hingga 9.1.1.1, terkena dampak. Plugin tersebut aktif di lebih dari empat juta situs.
Pengembang merilis perbaikan dengan memastikan fungsi check_login_and_get_user() keluar segera saat login_nonce gagal. Patch tersebut diterapkan dalam versi 9.1.2, yang tersedia pada tanggal 12 November untuk versi Pro dan 14 November untuk versi gratis.
WordPress.org bekerja sama dengan pengembang plugin untuk meluncurkan pembaruan keamanan otomatis ke versi 9.1.2 untuk situs yang terpengaruh. Meskipun demikian, administrator didesak untuk memverifikasi versi plugin situs mereka secara manual guna memastikan versi tersebut mutakhir. Pengguna Pro dengan lisensi yang kedaluwarsa harus memperbarui secara manual karena pembaruan otomatis tidak akan berlaku.
Masalah serupa terjadi pada awal tahun 2024 ketika 150.000 situs web terpapar risiko pengambilalihan karena kerentanan kritis pada plugin POST SMTP Mailer WordPress . Demikian pula, pada bulan Maret 2024, lebih dari 3.300 situs web WordPress terancam karena kelemahan pada plugin Popup Builder .