Para peneliti keamanan menemukan tiga celah kerentanan Remote Code Execution (RCE) pada plugin PHP Everywhere di CMS WordPress, RCE termasuk kerentanan yang sangat berbahaya, dimana penyerang dalam melakukan perintah jarak jauh langsung ke mesin atau sistem target.
Mengingat begitu banyak situs web menggunakan CMS WordPress yang diperkirakan mencapai 300.000 pengguna lebih.
PHP Everywhere adalah plugin yang memungkinkan pemilik website dapat melakukan operasi dinamis pada konten langsung ke teks editor WordPress, sehingga konten yang bersifat berulang tidak ditulis secara manual melainkan langsung menggunakan proses pemrograman PHP.
Tiga kerentanan tersebut ditemukan oleh analis keamanan Wordfence, celah keamanan tersebut dapat di eksploitasi oleh kontributor dan subscribers yang dapat berdampak pada WordPress versi 2.0.3 dan dibawahnya.
Berikut ini adalah keterangan singkat mengenai tiga kerentanan RCE yang terdapat pada plugin PHP Everywhere.
- CVE-2022-24663 memungkinkan melakukan perintah jarak jauh yang dapat di eksploitasi oleh subscribers mana pun dengan mengizinkan mereka mengirim permintaan dengan parameter “shortcode” yang telah disetel oleh PHP Everywhere dan mengeksekusi kode PHP arbitrer ke situs.
- CVE-2022-24664 memungkinan penyerang mengeksploitasi melalui metabox plugin. Penyerang dapat membuat postingan, menambahkan kode PHP ke metabox plugin.
- CVE-2022-24665 memungkinkan penyerang dengan level pengguna sebagai kontributor yang memiliki kemampuan akses “edit_posts” melakukan penambahan blok PHP Everywhere Gutenberg yang seharusnya hal tersebut dapat dilakukan hanya oleh admin.
Dari tiga daftar celah kerentanan diatas dua diantaranya pada urutan terakhir tidak mudah di eksploitasi karena memerlukan akun dengan level kontributor, namun kelemahan pertama jauh lebih terbuka untuk dapat di eksploitasi karena hanya perlu menjadi subscriber pada situs yang ditargetkan.
Sebagai contoh, pengunjung yang mengunjungi ke situs anda lalu mendaftar, biasanya akan menjadi subscriber, akun tersebut mendapatkan cukup hak istimewa untuk mengeksekusi kode PHP berbahaya.
Dalam semua kasus, mengeksekusi kode arbitrer di situs dapat menyebabkan pengambilalihan situs secara lengkap, lebih parahnya penyerang dapat menanam shell PHP ke server, hal tersebut adalah skenario tersebut yang dapat dilakukan penyerang dengan kerentanan RCE.
Tim Wordfence menemukan celah kerentanan tersebut pada 4 Januari 2022, dan langsung memberitahu pengembang PHP Everywhere tentang temuannya tersebut.
Pengembang selanjutnya merilis pembaruan keamanan pada 10 Januari 2022, dengan versi tersebut 3.0.0, versi terbaru memerlukan pembaruan secara besar dan mempengaruhi tingkat “major” pada penulis versi karena memerlukan penulisan ulang kode secara substansial.
Perbaikan tersebut tidak serta merta mengamankan situs anda dari kerentanan yang terjadi karena anda di haruskan melakukan pembaruan plugin, tidak jarang sebagai administrator begitu jarang memperbarui situsnya secara teratur.
Semoga situs anda terlindung dari segala jenis kerusakan yang disebabkan oleh orang yang tidak bertangung jawab atas ditemukannya setiap celah keamanan oleh para pakar keamanan di internet.