Seperti posting saya sebelumnya (baca: disini), telah terjadi kerentanan di wordpress 4.2 yang sebenarnya sudah ada sejak di wordpress versi 4.2, 4.1.2, 4.1.1, dan 3.9.3 namun masih dalam tahap pembenahan.

Jika dipicu oleh administrator log-in, di bawah pengaturan default penyerang dapat memanfaatkan kerentanan untuk mengeksekusi kode acak pada server melalui plugin dan tema editor.

Atau penyerang bisa mengubah password administrator, membuat akun administrator baru, atau melakukan apa pun yang administrator dapat lakukan saat log-in di sistem target.

Kerentanan ini disebabkan oleh karakter empat byte yang dimasukkan ke dalam komentar, menyebabkan pemotongan prematur oleh MySQL.

Hasil pemotongan di HTML cacat inilah yang dimasukkan pada halaman website. Penyerang dapat memasok setiap atribut dalam tag HTML yang diperbolehkan, dengan cara yang sama seperti inilah kerentanan XSS dapat mempengaruhi inti WordPress.

Dalam hal ini, seorang penyerang memposting komentar terlalu panjang untuk memicu batas ukuran MySQL jenis TEXT, yang memotong komentar yang dimasukkan ke dalam database.

Sebuah patch dari tim keamanan WordPress akan segera datang. Saat ini tim tidak bisa memastikan kapan, tetapi sementara itu ada beberapa hal yang teman-teman dapat lakukan untuk mengurangi risiko.

  1. Menginstal plugin wordpress Akismet yang telah dikonfigurasi untuk memblokir serangan ini.
  2. Sementara menonaktifkan komentar.

Semoga bermanfaat.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *

Are you human? * Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.