- Plugin King Addons memiliki dua kelemahan kritis yang memungkinkan pengambilalihan situs WordPress secara penuh
- Bug memungkinkan pengunggahan file yang tidak diautentikasi dan peningkatan hak istimewa melalui titik akhir pendaftaran
- Pengguna harus memperbarui ke versi 51.1.37 untuk menambal kedua kerentanan tersebut
King Addons untuk Elementor, sebuah iklan plugin WordPress yang memperluas pembuat halaman Elementor dengan ekstra pembuat situs web widget, templat, dan fitur desain, membawa dua kerentanan tingkat kritis yang memungkinkan pelaku ancaman mengambil alih sepenuhnya situs web yang rentan, demikian peringatan para ahli.
Dalam penasihat keamanan baru, Patchstack merinci dua bug: cacat pengunggahan file sewenang-wenang yang tidak diautentikasi (CVE-2025-6327), dan peningkatan hak istimewa melalui cacat titik akhir pendaftaran (CVE-2025-6325). Yang pertama memiliki skor tingkat keparahan 10/10 (kritis), sedangkan yang terakhir 9,8/10 (juga kritis).
Kedua bug tersebut memungkinkan pelaku ancaman mengubah situs WordPress yang rentan menjadi tempat berpijak. Mereka dapat memasukkan kode, atau akun, ke situs, dan menggunakannya untuk melakukan tindakan yang mengarah pada penyusupan situs sepenuhnya, atau pencurian data.
Menambal bug
Admin situs yang menggunakan widget “Login King Addons | Formulir Pendaftaran” harus memastikan untuk memperbarui plugin ke versi 51.1.37 sesegera mungkin, karena patch ini memperbaiki kerentanan dan mengurangi potensi risiko pengambilalihan situs.
“Kedua kerentanan tersebut mudah dieksploitasi dalam konfigurasi umum dan tidak memerlukan otentikasi,” Patchstack memperingatkan. “Penambalan segera sangat disarankan.”
Majalah Infokeamanan mengatakan vendor mengatasi kerentanan di dua versi, dengan memperkenalkan daftar peran yang diizinkan dan sanitasi input, serta pengendali unggahan yang sekarang memerlukan izin yang tepat dan menerapkan validasi jenis file yang ketat.
King Addons for Elementor adalah plugin populer dengan lebih dari 10.000 pengguna aktif. Ini menyediakan lebih dari 70 widget, lebih dari 650 templat, dan lebih dari 4.000 bagian halaman, membantu pengguna membangun situs web mereka tanpa pengetahuan coding yang luas.
Menemukan kerentanan kritis pada add-on dan tema WordPress bukanlah hal baru.
Ekstensi pihak ketiga pada platform adalah cara paling umum yang digunakan penjahat dunia maya untuk menyusupi dan mengambil alih situs WordPress. Itulah sebabnya pengguna selalu disarankan untuk hanya menyimpan add-on yang mereka gunakan, dan memastikan add-on tersebut selalu diperbarui ke versi terbaru.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
