Celah pada Ekstensi WordPress Ancam Keamanan Banyak Toko Online

Baru-baru ini, peneliti keamanan menemukan celah pada salah satu ekstensi yang bernama WooCommerce Dynamic Pricing and Discounts.
3 September 2021 20:22 WIB • Bacaan 2 menit
WooCommerce Ekstensi WooCommerce Ekstensi
Foto: Pexels/Negative Space.

WordPress merupakan salah satu sistem konten manajemen (CMS) terpopuler saat ini yang digunakan oleh setidaknya 30 persen situs di seluruh dunia. Sementara WooCommerce adalah plugin atau ekstensi yang dapat meningkatkan kemampuan CMS WordPress menjadi toko online. Ekstensi tersebut juga sangat populer dan memiliki ekosistemnya tersendiri di mana banyak ekstensi pihak ketiga tersedia baik secara gratis maupun berbayar yang dapat meningkatkan kapabilitas WooCommerce.

Baru-baru ini, peneliti keamanan menemukan celah pada salah satu ekstensi yang bernama WooCommerce Dynamic Pricing and Discounts. Ekstensi tersebut saat tulisan ini dipublikasikan telah terjual lebih dari 19.700 unit di Envato Market yang menandakan besarnya pengguna ekstensi tersebut dan WooCommerce secara keseluruhan.

Celah keamanan dimaksud memengaruhi ekstensi versi 2.4.1 dan yang berada di bawahnya. Apabila situs toko online Anda menggunakan ekstensi versi tersebut, maka Anda sangat direkomendasikan untuk segera memperbarui ke versi 2.4.2 yang telah memperbaiki celah keamanan yang ada.

Nintechnet, yang mempublikasikan laporan tersebut, menjelaskan setidaknya terdapat dua celah yang sangat memengaruhi tingkat keamanan ekstensi. Pertama ialah ketiadaan proses autentikasi terhadap fitur impor konfigurasi melalui berkas JSON terenkripsi. Dengan celah tersebut, maka siapapun baik itu pengguna terdaftar maupun tidak dapat mengunggah konfigurasi ekstensi.

Sejumlah formulir isian yang ditampilkan oleh ekstensi tersebut pada halaman situs juga tidak memiliki mekanisme sanitasi keluaran yang memungkinkan penyerang menyuntikkan kode-kode JavaScript tertentu dan mengeksekusinya pada tiap halaman produk. Celah tersebut pada praktiknya bisa saja dimanfaatkan oleh penyerang untuk mengalihkan pengunjung menuju situs-situs tertentu.

Sementara celah keamanan kedua terletak pada fungsi ekspor konfigurasi ekstensi yang juga tidak memiliki mekanisme autentikasi. Apabila dikombinasikan dengan celah keamanan pertama, maka penyerang dapat mengunduh konfigurasi ekstensi saat ini, menyuntikkan kode JavaScript tertentu ke dalam berkas konfigurasi JSON tersebut, dan mengunggahnya kembali ke dalam situs.

Nintechnet menyebut bahwa celah keamanan tersebut telah dilaporkan kepada Envato pada 18 Agustus 2021 lalu dan versi terbaru untuk memperbaiki celah keamanan tersebut telah dirilis pada 22 Agustus 2021.

Baca Juga:

Pecandu Wi-Fi. Penggemar Linux. Pemuja aplikasi free dan open source. Berkomunikasi dengan sesama dalam bahasa HTML, CSS, dan sedikit JavaScript.
Berikan Komentar

Alamat email Anda tidak akan dipublikasikan.