Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.
Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.
Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.
Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.
Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.
Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.
Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.
Selengkapnya: Bleeping Computer
