Celah Serius pada Everest Forms Pro Aktif Dieksploitasi!
Baru-baru ini, para peneliti keamanan memperingatkan tentang kampanye peretasan yang tengah berlangsung yang menyasar situs-situs WordPress yang menggunakan plugin populer. Wordfence mengklaim bahwa Everest Forms Pro, plugin WordPress terkenal ini, menyimpan celah dengan tingkat keparahan kritis yang memungkinkan aktor jahat untuk mengambil alih situs sepenuhnya.
Cela ini dikenal sebagai Remote Code Execution (RCE) dan terdeteksi melalui injeksi kode PHP. Dijuluki sebagai CVE-2026-3300, celah ini mendapatkan penilaian keparahan 9.8 dari 10, alias sangat berbahaya. Masalah ini ada di semua versi plugin hingga dan termasuk versi 1.9.12.
Celah Sudah Dipatch Sejak Bulan Lalu
Wordfence kini juga memperingatkan bahwa celah ini sedang dieksploitasi di dunia nyata untuk membuat akun admin jahat di situs yang rentan. Dalam laporan mereka, mereka menjelaskan bahwa penyerang mengirimkan nilai untuk sebuah kolom teks yang diawali dengan tanda kutip tunggal untuk menutup literal string, diikuti dengan pernyataan PHP yang memanggil wp_insert_user() untuk membuat akun admin baru dengan nama pengguna “diksimarina.”
“Tanda komentar // memastikan sisa kode PHP yang dihasilkan, termasuk tanda kutip penutup, dianggap sebagai komentar dan tidak menyebabkan kesalahan sintaks,” jelas Wordfence. “Ketika formulir diproses dan kalkulasi dievaluasi, kode PHP yang disisipkan dieksekusi, dan akun administrator jahat pun terbentuk.”
Dengan akses sebagai admin, para penyerang bisa melakukan hampir segala hal, mulai dari mencuri file yang tersimpan, mengalihkan pengunjung, hingga menyajikan malware di situs tersebut.
Cela ini pertama kali dipublikasikan pada bulan Februari tahun ini, dan pada pertengahan Maret, pengembang Everest Forms merilis perbaikan. Namun, upaya eksploitasi baru muncul sekitar sebulan setelahnya, tepatnya pada pertengahan April. Sampai saat ini, hampir 30.000 upaya telah diblokir, di mana sebagian besar berasal dari dua alamat IP tertentu.
Untuk para admin yang khawatir menjadi target selanjutnya, disarankan untuk memblokir dua alamat IP 202.56.2[.]126 dan 209.146.60.26, serta memeriksa log untuk string “diksimarina.” Melihat situasi seperti ini, penting banget untuk terus memantau keamanan situs dan menjaga semua plugin tetap diperbarui. Jangan sampai ceroboh, ya!
