- Ditemukan kelemahan injeksi SQL pada plugin QSM versi 10.3.1 dan yang lebih lama
- Kerentanan memungkinkan pengguna yang masuk (Pelanggan atau lebih tinggi) untuk mengekstrak data database sensitif
- Admin WordPress didesak untuk memperbarui QSM ke v10.3.2 atau lebih baru untuk mengurangi risiko
Jika situs web Anda menjalankan Kuis dan Survei Master plugin WordPressAnda mungkin ingin memperbaruinya ke versi terbaru, atau berisiko terkena serangan siber.
QSM memungkinkan pengguna membuat kuis, survei, dan formulir tanpa pengkodean, dengan lebih dari 40.000 situs web secara aktif menggunakannya – namun baru-baru ini, ditemukan bahwa versi 10.3.1 dan yang lebih lama rentan terhadap kelemahan injeksi SQL yang memungkinkan pengguna yang masuk untuk memasukkan perintah ke dalam database.
Penasihat keamanan dari Patchstack mencatat bahwa ini berarti setiap pengguna dengan akun “pelanggan”, atau akun dengan hak istimewa lebih tinggi, dapat melakukan beragam tindakan yang tidak diinginkan di situs web yang rentan, termasuk eksfiltrasi data.
Berapa banyak situs web yang rentan?
Pengguna disarankan untuk memperbarui ke versi ini, atau versi yang lebih baru, sesegera mungkin. Sesuai data di situs resmi WordPress.org, versi terbarunya adalah 10.3.5.
Sayangnya, tidak ada cara untuk mengetahui secara pasti berapa banyak situs web yang ditambal, dan berapa banyak yang masih rentan. Angka resmi menunjukkan bahwa mayoritas kecil – 52,1% – menjalankan versi 10.3, yang berarti setidaknya 47,9% – setara dengan 19.160 situs web – jelas rentan. Dari 39.980 sisanya, setidaknya beberapa menjalankan versi rentan 10.3.1.
Saat ini, tidak ada bukti bahwa kelemahan tersebut disalahgunakan secara liar, namun mengingat popularitasnya, dapat diasumsikan bahwa pelaku ancaman sekarang akan mulai memindai situs web menggunakan QSM. Bug tersebut sekarang dilacak sebagai CVE-2025-67987 dan telah diperbaiki di versi 10.3.2.
Sebagai pedoman umum, pengguna WordPress harus selalu menjaganya pembuat situs web platform diperbarui, serta plugin dan tema apa pun yang mereka gunakan. Profesional keamanan juga menyarankan agar semua plugin dan tema yang tidak digunakan secara aktif dihapus seluruhnya dari server.
Melalui Majalah Infokeamanan
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
