Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Senin menambahkan dua kelemahan keamanan kritis yang berdampak pada Erlang/Open Telecom Platform (OTP) SSH dan RoundCube ke katalog kerentanan yang diketahui dieksploitasi (KEV), berdasarkan bukti eksploitasi aktif.
Kerentanan yang dimaksud tercantum di bawah ini –
- CVE-2025-32433 (Skor CVSS: 10.0) – Otentikasi yang hilang untuk kerentanan fungsi kritis di server Erlang/OTP SSH yang dapat memungkinkan penyerang untuk menjalankan perintah sewenang -wenang tanpa kredensial yang valid, yang berpotensi mengarah ke eksekusi kode jarak jauh yang tidak aautentikasi. (Ditetapkan pada bulan April 2025 dalam versi OTP-27.3.3, OTP-26.2.5.11, dan OTP-25.3.2.20)
- CVE-2024-42009 (Skor CVSS: 9.3) – Kerentanan scripting lintas -situs (XSS) di webmail Roundcube yang dapat memungkinkan penyerang jarak jauh untuk mencuri dan mengirim email korban melalui pesan email yang dibuat dengan memanfaatkan masalah desanitisasi dalam program/tindakan/mail/show.php. (Ditetapkan pada Agustus 2024 dalam versi 1.6.8 dan 1.5.8)
Saat ini tidak ada detail tentang bagaimana kedua kerentanan dieksploitasi di alam liar, dan oleh siapa. Bulan lalu, ESET mengungkapkan bahwa aktor ancaman terkait Rusia yang dikenal sebagai APT28 mengeksploitasi beberapa kekurangan XSS di Roundcube, Horde, Mdaemon, dan Zimbra untuk menargetkan entitas pemerintah dan perusahaan pertahanan di Eropa Timur. Tidak jelas apakah penyalahgunaan CVE-2024-42009 terkait dengan kegiatan ini atau yang lainnya.
Menurut data dari Sensys, ada 340 server Erlang yang terpapar, meskipun perlu mencatat bahwa tidak semua contoh rentan terhadap cacat. Pengungkapan publik CVE-2025-32433 telah segera diikuti oleh pelepasan beberapa eksploitasi bukti-konsep (POC) untuk itu.
Mengingat eksploitasi aktif, agensi Cabang Eksekutif Sipil Federal (FCEB) diharuskan untuk menerapkan perbaikan yang diperlukan pada 30 Juni 2025, untuk perlindungan optimal.
Pengembangan datang ketika Patchstack menandai kerentanan pengambilalihan akun yang tidak ditandingi dalam plugin PayU CommercePro untuk WordPress (CVE-2025-31022, skor CVSS: 9,8) yang memungkinkan penyerang untuk mengambil kendali pengguna situs tanpa otentikasi apa pun.
Ini dapat memiliki konsekuensi serius ketika penyerang dapat membajak akun administrator, memungkinkan mereka untuk mengambil alih situs dan melakukan tindakan jahat. Kerentanan mempengaruhi versi 3.8.5 dan sebelumnya. Plugin ini memiliki lebih dari 5.000 instalasi aktif.
Masalahnya berkaitan dengan fungsi yang disebut “update_cart_data (),” yang, pada gilirannya, dipanggil dari titik akhir bernama “/payu/v1/get-samprip-biaya” yang memeriksa apakah ada alamat email yang disediakan, dan jika demikian, memproses pesanan e-commerce untuk checkout.
Tetapi karena titik akhir memeriksa token yang valid yang ditautkan ke alamat email yang dikodekan keras (“commerce.pro@payu[.]Dalam “) dan ada API REST lain untuk menghasilkan token otentikasi untuk email yang diberikan (“/payu/v1/menghasilkan-pengguna-token “), seorang penyerang dapat mengeksploitasi perilaku ini untuk mendapatkan token yang sesuai dengan” commerce.pro@payu[.]di “dan kirim permintaan ke”/payu/v1/get-sail-biaya “dan membajak akun apa pun.
Pengguna disarankan untuk menonaktifkan dan menghapus plugin sampai tambalan untuk kerentanan tersedia.
“Penting untuk memastikan bahwa titik akhir API REST yang tidak terauatsikasi tidak terlalu permisif dan memberikan lebih banyak akses kepada pengguna,” kata Patchstack. “Juga, informasi yang sensitif atau dinamis coding keras seperti alamat email untuk menggunakannya untuk kasus lain di dalam basis kode tidak disarankan.”
