Keamanan Plugin WordPress Terancam: Celah dalam User Registration & Membership
Sebuah celah keamanan yang kritis ditemukan pada salah satu plugin WordPress yang banyak digunakan, memungkinkan penyerang yang tidak terautentikasi untuk melewati kontrol autentikasi dan mendapatkan akses penuh ke situs web yang terpengaruh. Celah ini, yang dikenal dengan nama CVE-2026-1492, berdampak pada versi plugin User Registration & Membership, khususnya versi 5.1.2 dan yang lebih awal.
Menurut para ahli di Cyfirma, kelemahan ini disebabkan oleh kurangnya validasi yang tepat di sisi server dan pengecekan otorisasi yang lemah dalam alur pendaftaran anggota. Hal ini menciptakan celah berbahaya yang bisa dimanfaatkan oleh pihak yang tidak bertanggung jawab.
Cara Penyerang Memanfaatkan Celah Ini
Pihak penyerang dapat mengeksploitasi data sisi klien yang terpapar dan validasi backend yang tidak memadai untuk memanipulasi parameter yang langsung berpengaruh pada autentikasi dan penugasan hak akses. Celah ini terjadi karena ada kepercayaan yang berlebihan pada input yang dikendalikan pengguna, tanpa penerapan validasi yang ketat di sisi server.
End-point backend memproses tindakan terkait keanggotaan tanpa pengecekan autentikasi atau otorisasi yang benar. Akibatnya, nilai nonce yang terpapar di JavaScript sisi klien bisa diakses oleh pengguna yang belum terautentikasi. Penyerang kemudian dapat menggunakan nilai-nilai nonce ini dalam permintaan yang dibuat untuk memanipulasi perilaku backend, bahkan untuk pembuat situs web. Mereka bisa menyelidiki nilai-nilai ini untuk membangun permintaan jahat yang ditujukan ke endpoint AJAX WordPress di /wp-admin/admin-ajax.php. Backend kemudian memproses permintaan ini tanpa memverifikasi asal permintaan atau status otorisasi.
Langkah ini menyebabkan otentikasi otomatis dan peningkatan hak akses, yang mana akses administratif bisa diberikan tanpa proses login yang sah. Jika eksploitasi ini berhasil, penyerang mendapatkan hak akses administratif tanpa batas terhadap seluruh lingkungan WordPress.
Dengan akses semacam ini, penyerang dapat menginstal plugin berbahaya dan memodifikasi tema untuk menjalankan kode arbitrary. Mereka bahkan dapat mengakses data pengguna sensitif, termasuk kredensial dan file konfigurasi. Selain itu, akun admin yang tersembunyi bisa dibuat untuk memastikan akses yang terus berlanjut meski setelah deteksi awal.
Pembajakan situs web, manipulasi konten, dan injeksi skrip jahat menjadi sangat mudah begitu kontrol administratif telah tertangkap. Semua versi dari plugin User Registration & Membership hingga dan termasuk versi 5.1.2 rentan terhadap celah ini – namun permasalahan ini telah diatasi di versi 5.1.3 dengan memperbaiki mekanisme validasi dan otorisasi. Jadi, para administrator situs web harus segera melakukan pembaruan.
Setelah melakukan pembaruan, administrator sebaiknya memeriksa akun pengguna yang ada, terutama mereka yang memiliki hak administratif, untuk membantu mengidentifikasi akun tidak sah yang mungkin telah dibuat sebelum perbaikan diterapkan. Sesi mencurigakan harus diakhiri, dan kredensial perlu diatur ulang jika ada dugaan terjadinya pelanggaran.
Celah ini memiliki skor CVSS v4.0 sebesar 9.8 dari 10, menandakan tingkat keparahan yang kritis. Diskusi yang terlihat di forum bawah tanah menunjukkan adanya ketertarikan aktif untuk mengeksploitasi celah ini. Para hacker sudah saling membagikan teknik eksploitasi dan mendiskusikan strategi otomatisasi.
Broker Akses Awal dapat memanfaatkan celah ini untuk mendapatkan akses administratif dan menjualnya untuk penempatan ransomware, kampanye spam SEO, atau operasi pengumpulan kredensial. Mengingat kompleksitas eksploitasi yang rendah dan kesadaran publik tentang teknik ini, pemilik situs web yang menggunakan plugin yang terpengaruh harus menganggap sistem mereka dalam risiko aktif dan segera memprioritaskan mitigasi.
