Security

Hacker Eksploitasi Celah Autentikasi di Tema WordPress Service Finder

3 days ago
2 minutes read

8 Oktober 2025 — Peneliti keamanan memperingatkan adanya eksploitasi aktif terhadap celah keamanan kritis pada tema WordPress premium Service Finder, yang memungkinkan peretas melewati autentikasi dan masuk sebagai administrator.

Celah ini dilacak sebagai CVE-2025-5947 dan memiliki skor keparahan 9.8 (kritikal). Eksploitasi aktif telah tercatat sejak awal Agustus 2025, dengan lebih dari 13.800 upaya serangan terdeteksi oleh Wordfence, penyedia keamanan WordPress.

🔍 Tentang Tema Service Finder

Service Finder adalah tema WordPress premium yang digunakan untuk situs direktori layanan dan papan pekerjaan (job board), menawarkan fitur seperti:

  • Pemesanan pelanggan (customer booking)
  • Ulasan dan manajemen waktu
  • Manajemen staf dan faktur
  • Sistem pembayaran terintegrasi

Tema ini memiliki lebih dari 6.000 penjualan di Envato Market, dan umumnya digunakan oleh situs aktif dengan transaksi pelanggan.

⚠️ Rincian Kerentanan CVE-2025-5947

Celah ini berasal dari validasi yang tidak tepat pada cookie original_user_id dalam fungsi service_finder_switch_back().
Akibatnya, penyerang dapat mengirimkan permintaan HTTP GET sederhana dengan parameter switch_back=1 untuk menyamar sebagai pengguna apa pun, termasuk administrator, tanpa perlu kredensial.

Contoh permintaan berbahaya:

GET /?switch_back=1 HTTP/1.1
Host: example.com

Dengan akses admin, peretas dapat:

  • Mengubah konten situs
  • Membuat akun baru
  • Mengunggah file PHP berbahaya
  • Mengekspor basis data

🧩 Kronologi Insiden

  • 8 Juni 2025 → Celah ditemukan oleh peneliti keamanan Foxyyy melalui program bug bounty Wordfence.
  • 17 Juli 2025 → Vendor tema, Aonetheme, merilis patch versi 6.1 untuk memperbaiki celah.
  • Akhir Juli 2025 → Kerentanan diumumkan secara publik.
  • Sejak 23 September 2025 → Serangan meningkat pesat dengan lebih dari 1.500 upaya per hari.

🌐 Sumber Serangan dan IP Aktif

Sebagian besar aktivitas berbahaya berasal dari lima alamat IP utama berikut:

  • 5.189.221.98
  • 185.109.21.157
  • 192.121.16.196
  • 194.68.32.71
  • 178.125.204.198

Administrator disarankan untuk memblokir IP-IP tersebut, meskipun perlu diingat bahwa pelaku dapat beralih menggunakan alamat lain.

🧱 Langkah Pencegahan dan Mitigasi

Wordfence menyarankan administrator situs untuk:

  1. Segera memperbarui tema ke versi 6.1 atau lebih tinggi.
  2. Meninjau log aktivitas untuk mendeteksi login mencurigakan atau akun baru yang tidak dikenali.
  3. Mencadangkan situs dan basis data sebelum melakukan pembersihan.
  4. Memblokir parameter switch_back di file .htaccess atau firewall aplikasi web (WAF).
  5. Mengaktifkan pencatatan login tingkat admin guna memantau aktivitas pasca-eksploitasi.

⚠️ Wordfence memperingatkan: “Tidak adanya catatan mencurigakan di log tidak berarti situs Anda aman, karena peretas dengan akses admin dapat menghapus jejak serangan mereka.”

Celah CVE-2025-5947 menjadi pengingat penting bahwa bahkan tema premium sekalipun tidak kebal dari ancaman keamanan, dan pembaruan rutin adalah langkah paling penting dalam melindungi situs WordPress.

Sumber: Wordfence, BleepingComputer

Tags
3 days ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button