Plugin WordPress WP HTML Mail, yang diinstal di lebih dari 20.000 situs, rentan terhadap cacat tingkat keparahan tinggi yang dapat menyebabkan injeksi kode dan distribusi email phishing yang meyakinkan.
‘WP HTML Mail’ adalah plugin yang digunakan untuk merancang email khusus, pemberitahuan formulir kontak, dan pesan yang umumnya disesuaikan yang dikirim platform online ke audiens mereka.
Plugin ini kompatibel dengan WooCommerce, Ninja Forms, BuddyPress, dan lain-lain. Sementara jumlah situs yang menggunakannya tidak besar, banyak yang memiliki audiens yang besar, memungkinkan cacat untuk mempengaruhi sejumlah besar pengguna internet.
Menurut sebuah laporan oleh tim Threat Intelligence Wordfence, seorang aktor yang tidak diautistik dapat memanfaatkan cacat yang dilacak sebagai “CVE-2022-0218” untuk memodifikasi template email untuk berisi data sewenang-wenang yang dipilih penyerang.
Selain itu, aktor ancaman dapat menggunakan kerentanan yang sama untuk mengirim email phishing kepada siapa pun yang terdaftar di situs yang dikompromikan.
Titik akhir API yang tidak dilindungi
Masalahnya terletak pada pendaftaran plugin dari dua rute REST-API yang digunakan untuk mengambil dan memperbarui pengaturan template email.
Titik akhir API ini tidak dilindungi secara memadai dari akses yang tidak sah, sehingga bahkan pengguna yang tidak diautistik dapat memanggil dan menjalankan fungsi.
Terlepas dari kemungkinan serangan phishing, musuh juga bisa menyuntikkan JavaScript berbahaya ke dalam template surat, yang akan mengeksekusi kapan saja administrator situs mengakses editor email HTML.
Ini berpotensi membuka jalan untuk menambahkan akun admin baru, mengarahkan pengunjung situs ke situs phishing, menyuntikkan backdoor ke file tema, dan bahkan menyelesaikan pengambilalihan situs.
Pengungkapan dan perbaikan
Wordfence menemukan dan mengungkapkan kerentanan kepada pengembang plugin pada 23 Desember 2021, tetapi mereka baru mendapat tanggapan pada 10 Januari 2022.
Pembaruan keamanan yang mengatasi kerentanan datang pada 13 Januari 2022, dengan rilis versi 3.1.
Dengan demikian, semua pemilik dan administrator situs WordPress disarankan untuk memverifikasi bahwa mereka menjalankan versi terbaru dari plugin ‘WP HTML Mail’.
Sumber: Bleepingcomputer
