- Cacat kritis ditemukan di plugin WordPress yang memungkinkan penyerang mendaftarkan akun admin tanpa autentikasi
- Lebih dari 37.000 situs saat ini terekspos
Puluhan ribu WordPress situs web rentan terhadap pengambilalihan situs secara penuh, berkat kerentanan tingkat kritis yang baru ditemukan di plugin populer.
Peneliti keamanan di Defiant melaporkan menemukan bug dalam Pendaftaran Pengguna & Keanggotaan, a plugin WordPress yang membantu admin membuat paket berlangganan, mengontrol akses pengguna, dan menerima pembayaran. Bug ini disebabkan oleh plugin yang menerima peran yang diberikan pengguna selama pendaftaran keanggotaan, tanpa menerapkan daftar yang diizinkan di sisi server dengan benar.
Akibatnya, penyerang yang tidak diautentikasi dapat membuat akun admin dengan memberikan nilai peran saat pendaftaran.
Disalahgunakan secara aktif
Bug tersebut digambarkan sebagai “manajemen hak istimewa yang tidak tepat” dan sekarang dilacak sebagai CVE-2026-1492. Ini memiliki skor tingkat keparahan 9,8/10 (kritis) dan mempengaruhi semua versi plugin hingga, dan termasuk, 5.1.2. Itu telah diperbaiki di versi 5.1.3 yang sekarang tersedia untuk diunduh.
Para peneliti mengatakan mereka melihat lebih dari 200 upaya untuk mengeksploitasi kerentanan ini hanya dalam 24 jam, menunjukkan bahwa penjahat dunia maya sangat menyadari kelemahan tersebut dan secara aktif mencari situs web yang terekspos.
Area serangannya juga cukup besar, karena menurut repositori resmi WordPress, Registrasi Pengguna & Keanggotaan diinstal di lebih dari 60.000 situs web aktif, dan sebagian besar (62,7%) menjalankan versi 4.4 dan yang lebih lama.
Itu berarti setidaknya 37.000 situs web saat ini rentan terhadap bug manajemen hak istimewa yang tidak tepat.
Lebih buruknya lagi, halaman plugin tidak membedakan antara versi 5.1.2 dan 5.1.3, sehingga sangat mungkin jumlah situs web yang rentan sebenarnya lebih banyak lagi.
Dengan akun admin, pelaku ancaman dapat menimbulkan berbagai macam kekacauan, mulai dari mengeksfiltrasi data sensitif, hingga menggunakan situs web sebagai host malware. Mereka juga dapat mengalihkan lalu lintas yang sah ke situs web berbahaya yang dipenuhi iklan, dapat mengelabui pengguna agar membagikan kredensial login, dan banyak lagi.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
