- WordFence mengungkapkan kelemahan kritis RCE (CVE-2025-6389) di plugin Sneeit Framework, yang memengaruhi versi ≤8.3
- Eksploitasi memungkinkan penyerang membuat akun admin, memasang plugin berbahaya, dan membajak situs WordPress
- Pengguna didesak untuk memperbarui ke v8.4, memantau admin nakal, file PHP mencurigakan, dan aktivitas AJAX berbahaya
Peneliti keamanan dari WordFence telah memperingatkan tentang kerentanan tingkat kritis pada plugin populer yang memungkinkan pelaku ancaman menambahkan dirinya sebagai admin di situs WordPress.
Dalam penasihat keamanan yang diterbitkan minggu lalu, WordFence mengatakan pihaknya menemukan bug eksekusi kode jarak jauh (RCE) di Sneeit Framework, perangkat backend yang digunakan admin WordPress untuk mengelola opsi tema, tata letak, dan fitur khusus. Bug ini dilacak sebagai CVE-2025-6389, diberi skor tingkat keparahan 9,8/10 (kritis) dan memengaruhi semua versi plugin sebelum, dan termasuk, 8.3.
Versi 8.4, yang dirilis pada awal Agustus 2025, tidak terpengaruh. Menurut The Hacker News, plugin tersebut saat ini memiliki lebih dari 1.700 instalasi aktif.
Bagaimana agar tetap aman
Menjelaskan cara kerja kerentanan, WordFence mengatakan bahwa pelaku jahat dapat memanggil fungsi PHP sewenang-wenang dan membuatnya membuat pengguna admin baru, yang kemudian dapat digunakan penyerang untuk mengambil kendali penuh atas situs web target. Setelah itu, mereka dapat dengan mudah memasang plugin berbahaya, menambahkan pengikis data, mengarahkan korban ke situs lain, memperkenalkan laman landas phishing, dan banyak lagi.
Penjahat dilaporkan mulai mengeksploitasi kelemahan tersebut saat kelemahan tersebut diumumkan ke publik. Pada hari pertama, WordFence memblokir lebih dari 131.000 serangan, dan bahkan saat ini, jumlah serangan harian berkisar sekitar 15.000.
Cara terbaik untuk tetap aman dari kerentanan ini adalah dengan memperbarui plugin ke versi 8.4. Pengguna juga disarankan untuk selalu memperbarui platform WordPress mereka, serta semua plugin dan tema lainnya. Selanjutnya, semua elemen yang tidak digunakan harus dihapus dari platform.
Ada juga indikator kompromi yang harus diwaspadai oleh webmaster – seperti munculnya akun admin WordPress baru yang tidak sah, yang dibuat melalui panggilan balik AJAX yang rentan.
Tanda bahaya lainnya adalah adanya file PHP berbahaya yang diunggah ke server, termasuk webshell bernama xL.php, Canonical.php, .a.php, simple.php, atau up_sf.php, serta file .htaccess mencurigakan yang dirancang untuk memungkinkan eksekusi jenis file berbahaya.
Situs yang disusupi mungkin juga berisi file seperti finderdata.txt atau goodfinderdata.txt, yang dihasilkan oleh alat pencari shell milik penyerang. File log yang menunjukkan permintaan AJAX yang berhasil dari IP penyerang yang diketahui — seperti 185.125.50.59, 182.8.226.51, 89.187.175.80, dan lainnya yang tercantum dalam laporan merupakan indikator kuat lainnya bahwa kerentanan digunakan untuk mengakses situs.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
