Tiga plugin e-niaga populer untuk penginstalan WordPress (WP), terbuka untuk serangan injeksi SQL sejak Desember 2022, telah ditambal untuk melindungi bisnis dari penyerang yang mengubah atau menghapus situs web mereka.
Tiga plugin yang terpengaruh seperti yang ditemukan oleh peneliti keamanan yang dapat dipertahankan Joshua Martinelle (dibuka di tab baru) (oleh Beeping Computer (dibuka di tab baru)), WePaid Pro Membership (dibuka di tab baru)’, alat manajemen langganan dengan lebih dari 100.000 penginstalan, ‘Unduhan digital mudah (terbuka di tab baru)’, alat e-niaga dengan lebih dari 50.000 penginstalan, dan ‘Penanda survei (dibuka di tab baru)’ (alat riset pasar dengan lebih dari 3.000 penginstalan aktif)
Injeksi SQL adalah kerentanan yang memungkinkan penyerang memasukkan data ke dalam formulir halaman web atau URL untuk memodifikasi database. Penyerang dapat mengeksploitasi kerentanan yang memungkinkan injeksi SQL menyuntikkan skrip yang dirancang untuk memodifikasi situs web atau mendapatkan akses tidak sah ke backend mereka.
Injeksi SQL di wordpress
Meskipun semua situs web rentan terhadap injeksi SQL selama pengembangan, penginstalan WordPress, yang dihosting di platform terpusat populer yang sarat dengan banyak plugin populer, merupakan target populer bagi penjahat dunia maya yang mencari eksploitasi.
Baru pada Januari 2023 TechRadar Pro telah melaporkan di penawaran plugin WP lainnya obrolan langsung menggunakan fungsionalitas selama tiga tahun untuk mengeksekusi kode JavaScript yang mengarahkan pengguna ke situs web jahat, dan juga lelucon serupa lainnya yang menargetkan plugin yang menambahkan fitur kartu hadiah toko online.
Untungnya, setelah bug terungkap dan eksploitasi proof-of-concept (PoC) oleh Martinelle diterbitkan di WordPress pada 19 Desember 2022, pengembang plugin dengan cepat mengatasi bug tersebut, dan perbaikan dirilis dalam beberapa minggu atau bahkan beberapa hari.
Sebuah perbaikan untuk “Survey Maker”, bagian dari plugin versi 3.1.2, dirilis pada 21 Desember. “Pro Keanggotaan Berbayar” menyusul pada 27 Januari, ditambal ke versi 2.9.8, dan “Unduhan Digital Mudah” menyusul pada Januari 5, 2023 sebagai bagian dari versi 3.1.0.4.
Jika mereka belum melakukannya, pengguna yang terpengaruh disarankan untuk memperbarui plugin ini ke versi terbaru untuk melindungi dari serangan injeksi SQL di masa mendatang.
