Pembaruan Keamanan WordPress 5.8.3 Memperbaiki Injeksi SQL, Kelemahan XSS

Tim pengembangan WordPress merilis versi 5.8.3, rilis keamanan siklus pendek yang membahas empat kerentanan, tiga di antaranya dinilai sangat penting.

Set termasuk injeksi SQL pada WP_Query, injeksi SQL buta melalui WP_Meta_Query, serangan XSS melalui siput pos, dan injeksi objek admin.

Semua masalah memiliki prasyarat untuk eksploitasi mereka, dan sebagian besar situs WordPress yang menggunakan pengaturan pembaruan inti otomatis default tidak dalam bahaya.

Namun, situs yang menggunakan WordPress 5.8.2 atau yang lebih lama, dengan sistem file read-only yang telah menonaktifkan pembaruan inti otomatis di wp-config.php, dapat rentan terhadap serangan berdasarkan kekurangan yang diidentifikasi.

Empat kelemahan yang dibahas dengan pembaruan keamanan terbaru adalah sebagai berikut:

CVE-2022-21661: Tingkat keparahan tinggi (skor CVSS 8.0) injeksi SQL melalui WP_Query. Kelemahan ini dapat dieksploitasi melalui plugin dan tema yang menggunakan WP-Query. Perbaikan mencakup versi WordPress hingga 3.7.37.
CVE-2022-21662: Tingkat keparahan tinggi (skor CVSS 8.0) kerentanan XSS yang memungkinkan penulis (pengguna hak istimewa yang lebih rendah) untuk menambahkan backdoor berbahaya atau mengambil alih situs dengan menyalahgunakan siput pos. Perbaikan mencakup versi WordPress hingga 3.7.37.
CVE-2022-21664: Tingkat keparahan tinggi (skor CVSS 7,4) injeksi SQL melalui kelas inti WP_Meta_Query. Perbaikan mencakup versi WordPress hingga 4.1.34.
CVE-2022-21663: Masalah injeksi objek tingkat keparahan sedang (skor CVSS 6,6) yang hanya dapat dieksploitasi jika aktor ancaman telah membahayakan akun admin. Perbaikan mencakup versi WordPress hingga 3.7.37.

Belum ada laporan tentang hal di atas yang berada di bawah eksploitasi aktif di alam liar, dan tidak satu pun dari kekurangan ini diperkirakan memiliki dampak potensial yang parah pada sebagian besar situs WordPress.

Meskipun demikian, disarankan agar semua pemilik situs WordPress meng-upgrade ke versi 5.8.3, meninjau konfigurasi firewall mereka, dan memastikan bahwa pembaruan inti WP diaktifkan.

Pengaturan ini dapat dilihat pada parameter ‘define’ dalam wp-config.php, yang harus “define (‘WP_AUTO_UPDATE_CORE’, true);”

Pembaruan inti otomatis diperkenalkan pada tahun 2013 di WordPress 3.7, dan menurut statistik resmi, hanya 0,7% dari semua situs WP yang saat ini menjalankan versi yang lebih tua dari itu.

Sumber: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings