Kerentanan Plugin WordPress Ninja Forms Ancam Keamanan 1 Juta Situs

Perusahaan keamanan Wordfence menemukan dua kerentanan pada plugin WordPress Ninja Forms. Plugin pembuatan formulir di WordPress tersebut merupakan salah satu yang paling populer dengan lebih dari satu juta situs berbasis WordPress yang menggunakannya.

Para pengguna plugin tersebut diminta bersegera untuk menerapkan pembaruan plugin ke setidaknya versi 3.5.8. Kerentanan yang ditemukan tersebut memengaruhi seluruh instalasi plugin WordPress Ninja Forms versi 3.5.7 dan yang di bawahnya.

Secara umum, kerentanan tersebut muncul karena plugin tidak melakukan pemeriksaan yang cukup terhadap izin pengguna. Alih-alih memastikan bahwa pengguna yang masuk memiliki izin yang tepat untuk memicu tindakan terkait, plugin WordPress Ninja Forms hanya memeriksa apakah pengguna sudah masuk ke sistem admin atau tidak melalui fungsi is_user_logged_in().

Akibatnya? Setiap pengguna yang masuk ke sistem WordPress dapat melakukan ekspor semua data pengiriman formulir yang menjadi salah satu fitur dari plugin. Bergantung pada bagaimana formulir situs yang dibuat dikonfigurasi pemiliknya, data tersebut bisa saja mengungkap informasi pribadi yang sensitif yang bisa dimanfaatkan pihak yang tidak bertanggung jawab.

Kerentanan yang sama juga terjadi untuk fungsi pengiriman email secara massal yang menjadi bagian dari plugin WordPress Ninja Forms. Fungsi yang dapat dijalankan antara lain mengirim konfirmasi email, pemberitahuan melalui email, dan lainnya secara massal sebagai tanggapan atas kiriman pengguna.

Tiadanya pemeriksaan izin pengguna membuat siapapun pengguna yang masuk ke dalam sistem admin WordPress dapat membuat email tertentu dan kemudian mengirimkannya ke alamat email manapun. Terdengar sederhana, tapi hal itu dapat dimanfaatkan untuk membuat email phishing yang dapat mengelabui pengguna dan bahkan menimbulkan kerugian materi.

Tingkat ancaman tertinggi dari skema tersebut ialah pengguna yang tidak bertanggung jawab tersebut dapat mengelabui pemilik situs karena email yang dikirimkan tersebut berasal dari situs pemilik sendiri sehingga sang pemilik bisa saja tidak menaruh curiga. Jika benar terjadi, pengguna atau penyusup dapat membuat email yang meminta pemilik atau administrator tertinggi untuk memasukkan kata sandi mereka di halaman login palsu yang telah dibuat sebelumnya.

“Kerentanan ini dapat dengan mudah digunakan untuk membuat email phishing yang dapat mengelabui pengguna dan pemilik situs yang tidak menaruh curiga untuk melakukan tindakan yang tidak diinginkan dengan menyalahgunakan kepercayaan pada domain yang digunakan untuk mengirim email,” demikian pernyataan Wordfence dalam laporannya.

Dengan kata lain, pengguna yang tadinya bukan bertindak sebagai administrator tertinggi bisa saja akan mendapatkan akses penuh ke dalam situs.

WordFence menemukan dua kerentanan tersebut pada 2 Agustus 2021 di mana sehari kemudian mereka mengirimkan detail laporan ke vendor plugin WordPress Ninja Forms. Di hari yang sama, vendor mengonfirmasi temuan tersebut dan akan memulai perbaikan.

Tanggal 1 September 2021, vendor memberikan pemberitahuan kepada Wordfence bahwa perbaikan celah keamanan tersebut sudah siap dan akan segera dirilis. Hingga pada 7 September 2021 versi baru dari plugin WordPress Ninja Forms 3.5.8 telah dirilis.

Apabila di saat yang bersamaan Anda menggunakan plugin Wordfence Premium, perlu diketahui bahwa Anda telah menerima aturan firewall untuk terlindung dari eksploitasi yang menargetkan kerentanan ini pada 2 Agustus 2021. Situs yang masih menggunakan plugin Wordfence versi gratis menerima perlindungan yang sama pada 1 September 2021.

Seluruh pengguna plugin WordPress Ninja Forms diminta untuk segera menerapkan pembaruan tersebut untuk menjaga keamanan situs dari hal-hal yang tidak diinginkan. Jika Anda mengenal teman atau kolega yang menggunakan plugin ini di situs mereka, digita.id sangat menyarankan untuk meneruskan saran ini kepada mereka untuk membantu menjaga situs mereka tetap terlindungi karena ini adalah kerentanan serius yang dapat menyebabkan pengungkapan informasi sensitif.

Untuk diketahui, perusahaan keamanan WordPress lainnya, Nintechnet, juga menemukan celah pada salah satu plugin yang bernama WooCommerce Dynamic Pricing and Discounts. Ekstensi tersebut saat tulisan ini dipublikasikan telah terjual lebih dari 19.900 unit di Envato Market yang menandakan besarnya pengguna ekstensi tersebut dan WooCommerce secara keseluruhan.

Celah keamanan dimaksud memengaruhi ekstensi versi 2.4.1 dan yang berada di bawahnya. Apabila situs toko online Anda menggunakan ekstensi versi tersebut, maka Anda sangat direkomendasikan untuk segera memperbarui ke versi 2.4.2 yang telah memperbaiki celah keamanan yang ada.