Plugin Keamanan WordPress Bocorkan Data Pribadi ke Pengguna Subscriber
Plugin Anti-Malware Security and Brute-Force Firewall untuk WordPress, yang saat ini terpasang di lebih dari 100.000 situs web, dilaporkan memiliki kerentanan serius yang memungkinkan pengguna berizin rendah (subscriber) membaca file apa pun di server — termasuk file sensitif seperti wp-config.php yang berisi kredensial database.
Rincian Kerentanan CVE-2025-11705
Kerentanan ini terdaftar dengan ID CVE-2025-11705 dan ditemukan oleh peneliti keamanan Dmitrii Ignatyev, kemudian dilaporkan ke Wordfence.
Masalah utama berasal dari kurangnya pemeriksaan hak akses (capability check) dalam fungsi GOTMLS_ajax_scan(), yang memproses permintaan AJAX menggunakan nonce (token keamanan) yang bisa diperoleh oleh penyerang.
Akibatnya, pengguna dengan hak akses rendah seperti subscriber dapat memanggil fungsi tersebut untuk membaca file arbitrer di server, termasuk:
wp-config.php— menyimpan nama database, username, password, dan kunci autentikasi (keys & salts).- File konfigurasi sensitif lainnya yang berpotensi digunakan untuk eskalasi serangan.
Dengan akses ke kredensial database, penyerang dapat mengekstrak hash password, alamat email pengguna, postingan, dan data sensitif lainnya.
Tingkat Risiko
Meskipun kerentanan ini memerlukan autentikasi, risikonya tetap tinggi bagi situs yang:
- Mengizinkan registrasi pengguna (subscriber)
- Menyediakan fitur komentar, forum, atau keanggotaan
Karena kondisi tersebut memberi peluang bagi penyerang untuk membuat akun, lalu mengeksploitasi celah ini dari dalam sistem.
Tindakan Perbaikan
Wordfence melaporkan celah ini ke pengembang plugin, Eli, melalui tim keamanan WordPress.org pada 14 Oktober 2025.
Keesokan harinya, pengembang merilis versi 4.23.83, yang menambahkan validasi hak akses pengguna dengan fungsi baru GOTMLS_kill_invalid_user(), sehingga membatasi eksekusi fungsi hanya untuk admin sah.
Menurut statistik WordPress.org, sekitar 50.000 admin situs telah memperbarui plugin mereka, namun itu berarti setengah dari total instalasi masih rentan.
Hingga saat ini, Wordfence belum mendeteksi eksploitasi aktif di alam liar, tetapi karena detail kerentanan sudah dipublikasikan, patch segera sangat disarankan untuk mencegah potensi penyalahgunaan.
Rekomendasi untuk Admin WordPress
- Segera perbarui plugin Anti-Malware Security and Brute-Force Firewall ke versi 4.23.83 atau lebih baru.
- Nonaktifkan pendaftaran pengguna umum jika tidak diperlukan.
- Lindungi file wp-config.php dengan izin file yang ketat (400 atau 440).
- Gunakan plugin keamanan tambahan seperti Wordfence atau iThemes Security untuk memantau aktivitas AJAX dan API.
- Ganti kredensial database jika terindikasi ada akses mencurigakan.
Sumber: Wordfence
