Celah pada Ekstensi WordPress Ancam Keamanan Banyak Toko Online

Baru-baru ini, peneliti keamanan menemukan celah pada salah satu ekstensi yang bernama WooCommerce Dynamic Pricing and Discounts.
3 September 2021 20:22 WIB • Bacaan 2 menit
WooCommerce Ekstensi WooCommerce Ekstensi
Foto: Pexels/Negative Space.

WordPress merupakan salah satu sistem konten manajemen (CMS) terpopuler saat ini yang digunakan oleh setidaknya 30 persen situs di seluruh dunia. Sementara WooCommerce adalah plugin atau ekstensi yang dapat meningkatkan kemampuan CMS WordPress menjadi toko online. Ekstensi tersebut juga sangat populer dan memiliki ekosistemnya tersendiri di mana banyak ekstensi pihak ketiga tersedia baik secara gratis maupun berbayar yang dapat meningkatkan kapabilitas WooCommerce.

Baru-baru ini, peneliti keamanan menemukan celah pada salah satu ekstensi yang bernama WooCommerce Dynamic Pricing and Discounts. Ekstensi tersebut saat tulisan ini dipublikasikan telah terjual lebih dari 19.700 unit di Envato Market yang menandakan besarnya pengguna ekstensi tersebut dan WooCommerce secara keseluruhan.

Celah keamanan dimaksud memengaruhi ekstensi versi 2.4.1 dan yang berada di bawahnya. Apabila situs toko online Anda menggunakan ekstensi versi tersebut, maka Anda sangat direkomendasikan untuk segera memperbarui ke versi 2.4.2 yang telah memperbaiki celah keamanan yang ada.

Nintechnet, yang mempublikasikan laporan tersebut, menjelaskan setidaknya terdapat dua celah yang sangat memengaruhi tingkat keamanan ekstensi. Pertama ialah ketiadaan proses autentikasi terhadap fitur impor konfigurasi melalui berkas JSON terenkripsi. Dengan celah tersebut, maka siapapun baik itu pengguna terdaftar maupun tidak dapat mengunggah konfigurasi ekstensi.

Sejumlah formulir isian yang ditampilkan oleh ekstensi tersebut pada halaman situs juga tidak memiliki mekanisme sanitasi keluaran yang memungkinkan penyerang menyuntikkan kode-kode JavaScript tertentu dan mengeksekusinya pada tiap halaman produk. Celah tersebut pada praktiknya bisa saja dimanfaatkan oleh penyerang untuk mengalihkan pengunjung menuju situs-situs tertentu.

Sementara celah keamanan kedua terletak pada fungsi ekspor konfigurasi ekstensi yang juga tidak memiliki mekanisme autentikasi. Apabila dikombinasikan dengan celah keamanan pertama, maka penyerang dapat mengunduh konfigurasi ekstensi saat ini, menyuntikkan kode JavaScript tertentu ke dalam berkas konfigurasi JSON tersebut, dan mengunggahnya kembali ke dalam situs.

Nintechnet menyebut bahwa celah keamanan tersebut telah dilaporkan kepada Envato pada 18 Agustus 2021 lalu dan versi terbaru untuk memperbaiki celah keamanan tersebut telah dirilis pada 22 Agustus 2021.

Baca Juga:

Kerentanan Plugin WordPress Ninja Forms Ancam Keamanan 1 Juta Situs

Keamanan • 24 September 2021 08:08 WIB

Kamera IP Hikvision Bisa Diambil Alih Penyusup, Update Sekarang Juga!

Keamanan • 23 September 2021 11:46 WIB

Satria: Aplikasi Manajemen Kata Sandi dari BSSN

Aplikasi • 9 September 2021 13:02 WIB

Vivo Y21s Sudah Rilis! Ini Spesifikasi dan Harganya

Gawai • 7 September 2021 10:20 WIB
Praditya Kasworo
Pecandu Wi-Fi. Penggemar Linux. Pemuja aplikasi free dan open source. Berkomunikasi dengan sesama dalam bahasa HTML, CSS, dan sedikit JavaScript.
ekstensi javascript peretasan woocommerce wordpress
Berikan Komentar

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Berita Terkini

Peretasan Sebabkan Data 28 Ribu Personel Polri Bocor

Keamanan • 18-11-2021 09:10 WIB

Catat! Xiaomi Pad 5 Hadir Lagi pada 15 November 2021

Gawai • 12-11-2021 14:58 WIB

Infinix HOT 11S NFC Tiba di Tanah Air

Gawai • 10-11-2021 06:28 WIB

POCO M4 Pro 5G Hadir, Bawa Kamera 50 MP

Gawai • 10-11-2021 06:09 WIB

Netflix Games Juga Akan Hadir di iOS

Game • 08-11-2021 15:01 WIB
© 2021-2024 digita.id