Scroll untuk baca artikel
Networking

Peretas mengeksploitasi bypass autentikasi di tema WordPress Service Finder

48
×

Peretas mengeksploitasi bypass autentikasi di tema WordPress Service Finder

Share this article
peretas-mengeksploitasi-bypass-autentikasi-di-tema-wordpress-service-finder
Peretas mengeksploitasi bypass autentikasi di tema WordPress Service Finder

Peretas mengeksploitasi bypass autentikasi di tema WordPress Service Finder

Pelaku ancaman secara aktif mengeksploitasi kerentanan kritis dalam tema WordPress Service Finder yang memungkinkan mereka melewati otentikasi dan masuk sebagai administrator.

Example 300x600

Hak istimewa administrator di WordPress memberikan kontrol penuh atas konten dan pengaturan, izin untuk membuat akun, mengunggah file PHP, dan mengekspor database.

Perusahaan keamanan plugin WordPress Wordfence mencatat lebih dari 13.800 upaya eksploitasi sejak 1 Agustus.

Service Finder adalah tema WordPress premium yang dirancang untuk direktori layanan dan situs web papan pekerjaan. Ini mendukung pemesanan pelanggan, umpan balik, manajemen slot waktu, manajemen staf, pembuatan faktur, dan sistem pembayaran.

Temanya memiliki lebih banyak 6.000 penjualan di Envato Marketdan seperti kebanyakan plugin premium, biasanya digunakan oleh situs aktif.

Kerentanan yang dieksploitasi dalam serangan terbaru dilacak sebagai CVE-2025-5947 dan memiliki skor tingkat keparahan kritis sebesar 9,8. Ini mempengaruhi Service Finder versi 6.0 dan yang lebih lama, yang berasal dari validasi yang tidak tepat kuki_user_id asli di layanan_finder_switch_back() fungsi.

Penyerang yang mengeksploitasi CVE-2025-5947 dapat masuk sebagai pengguna mana pun, termasuk administrator, tanpa autentikasi.

Masalah ini ditemukan oleh peneliti keamanan ‘Foxyyy’ yang melaporkannya melalui program bug bounty Wordfence pada 8 Juni.

Aonetheme, vendor tema, mengatasi masalah keamanan dalam versi 6.1, yang dirilis pada 17 Juli. Pada akhir bulan, masalah tersebut diungkapkan kepada publik dan eksploitasi dimulai pada hari berikutnya.

Selama sekitar seminggu sejak 23 September, Wordfence mengamati lonjakan lebih dari 1.500 upaya serangan setiap hari. Secara keseluruhan, para peneliti melihat lebih dari 13.800 upaya eksploitasi.

Volume serangan yang menargetkan CVE-2025-5947
Volume serangan yang menargetkan CVE-2025-5947
Sumber: Wordfence

Berdasarkan pengamatan Wordfence, serangan tipikal mencakup permintaan HTTP GET ke jalur root dengan parameter kueri (switch_back=1) untuk meniru identitas pengguna yang ada.

Para peneliti mengatakan ada beberapa alamat IP yang digunakan untuk melancarkan serangan. Namun, ribuan permintaan serangan hanya berasal dari lima di antaranya:

  • 5.189.221.98
  • 185.109.21.157
  • 192.121.16.196
  • 194.68.32.71
  • 178.125.204.198

Sebagai bagian dari langkah-langkah pertahanan terhadap serangan ini adalah memblokir daftar alamat IP di atas. Namun perlu diingat bahwa penyerang dapat beralih ke yang baru.

Para peneliti mengatakan bahwa tidak ada indikator kompromi yang jelas untuk menghentikan serangan ini selain permintaan yang mengandung parameter ‘switch_back’.

Administrator situs web harus meninjau semua log untuk aktivitas atau akun mencurigakan yang mungkin dibuat oleh pelaku ancaman agar tetap bertahan.

Wordfence memperingatkan bahwa “tidak adanya entri log seperti itu tidak menjamin bahwa situs web Anda tidak disusupi,” karena akses administrator memberi penyerang kemampuan untuk menutupi jejak mereka dengan menghapus log atau bukti lainnya.

Mengingat status eksploitasi aktif CVE-2025-5947, pengguna tema Service Finder disarankan untuk menerapkan pembaruan keamanan sesegera mungkin atau berhenti menggunakan plugin.

KTT Pico Bas

Acara Validasi Keamanan Tahun Ini: Picus BAS Summit

Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.

Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda