Dua kelemahan keamanan penting yang berdampak pada perlindungan Spam, plugin Anti-Spam, dan FireWall WordPress dapat memungkinkan penyerang yang tidak diautentikasi untuk menginstal dan mengaktifkan plugin berbahaya di situs yang rentan dan berpotensi mencapai eksekusi kode jarak jauh.
Kerentanan, dilacak sebagai CVE-2024-10542 Dan CVE-2024-10781membawa skor CVSS 9,8 dari maksimum 10,0. Masalah tersebut telah diatasi dalam versi 6.44 dan 6.45 yang dirilis bulan ini.
Dipasang di lebih dari 200.000 situs WordPress, perlindungan Spam CleanTalk, Anti-Spam, plugin FireWall diiklankan sebagai “plugin anti-spam universal” yang memblokir komentar spam, pendaftaran, survei, dan banyak lagi.
Menurut Wordfence, kedua kerentanan tersebut berkaitan dengan masalah bypass otorisasi yang memungkinkan pelaku jahat memasang dan mengaktifkan plugin sewenang-wenang. Hal ini kemudian dapat membuka jalan bagi eksekusi kode jarak jauh jika plugin yang diaktifkan memiliki kerentanannya sendiri.
Plugin ini “rentan terhadap Instalasi Plugin Sewenang-wenang yang tidak sah karena tidak ada pemeriksaan nilai kosong pada nilai 'api_key' dalam fungsi 'perform' di semua versi hingga, dan termasuk, 6.44,” kata peneliti keamanan István Márton, merujuk pada CVE -2024-10781.
Di sisi lain, CVE-2024-10542 berasal dari bypass otorisasi melalui spoofing DNS terbalik pada fungsi checkWithoutToken().
Terlepas dari metode bypassnya, keberhasilan eksploitasi kedua kelemahan tersebut dapat memungkinkan penyerang menginstal, mengaktifkan, menonaktifkan, atau bahkan menghapus instalasi plugin.
Pengguna plugin disarankan untuk memastikan bahwa situs mereka diperbarui ke versi patch terbaru untuk melindungi dari potensi ancaman.
Perkembangan ini terjadi ketika Sucuri telah memperingatkan beberapa kampanye yang memanfaatkan situs WordPress yang disusupi untuk menyuntikkan kode berbahaya yang bertanggung jawab untuk mengarahkan pengunjung situs ke situs lain melalui iklan palsu, membaca kredensial login, serta menjatuhkan malware yang menangkap kata sandi admin, mengalihkan ke VexTrio Viper situs penipuan, dan mengeksekusi kode PHP sewenang-wenang di server.