Sebuah celah keamanan kritis ditemukan pada plugin Forminator, salah satu plugin formulir yang paling banyak digunakan di WordPress, yang memungkinkan penyerang untuk mengambil alih seluruh situs WordPress yang rentan.
Detail Kerentanan
- CVE: CVE-2024-28890
- Tingkat Keparahan: Kritis (CVSS 9.8)
- Dampak:
- Penyerang dapat melakukan Remote Code Execution (RCE) tanpa autentikasi.
- Berpotensi mengubah kredensial admin atau mengunggah backdoor ke situs WordPress korban.
- Komponen Terpengaruh:
- Fungsi Forminator Form Export/Import memiliki validasi input yang tidak memadai.
- Celah ini memungkinkan upload file berbahaya yang dieksekusi di server.
Versi yang Terpengaruh
- Semua versi sebelum 1.29.3.
Tindakan dari Developer
- Developer Forminator, WPMU DEV, telah merilis patch pada versi 1.29.3 yang memperbaiki masalah ini.
- Mereka menganjurkan semua pengguna untuk segera melakukan update.
Dampak Potensial
- Takeover Situs:
Penyerang bisa mendapatkan akses penuh ke dashboard admin. - Defacement:
Situs bisa diubah tampilannya atau disisipkan malware. - Pencurian Data:
Termasuk informasi pengunjung, data formulir, atau database. - Distribusi Malware:
Situs yang terkompromi dapat digunakan untuk menyebarkan malware ke pengunjung.
Rekomendasi untuk Pengguna WordPress
- Segera update Forminator ke versi 1.29.3 atau lebih baru.
- Periksa file mencurigakan di direktori uploads.
- Gunakan plugin keamanan seperti Wordfence, Sucuri, atau iThemes Security untuk melakukan scan.
- Pantau aktivitas tidak biasa di dashboard admin.