Cyberthreat.id – Dua kerentanan parah pada plugin Facebook untuk situs web berbasis WordPress telah diperbaiki.

Tim keamanan Facebook merilis perbaikan untuk kerentanan pertama pada 6 Januari lalu, sedangkan kerentanan kedua baru dirilis penuh pada 17 Februari.

Kedua kerentanan tersebut diperbarui di versi 3.0.4 dan disarankan bagi pemilik situs web yang memakai plugin Facebook untuk menginstal pembaruan terakhir yaitu versi 3.0.5, demikian seperti dikutip dari ZDNet, diakses Jumat (26 Maret 2021).

Dua kerentanan itu pertama kali ditemukan oleh Tim Intelijen Ancaman Wordfence dari Defiant, perusahaan keamanan siber yang fokus WordPress pada Desember 2020.

Kerentanan pertama pada Facebook for Wordpress—dulu disebut Official Facebook Pixel—disebut oleh peneliti sebagai kerentanan kritis, injeksi PHP Object, yang ditemukan dalam fungsi run_action() perangkat lunak.

Plugin tersebut biasa dipakai untuk mencatat aktivitas pengguna saat mengunjungi halaman web dan memantau lalu lintas situs web. Plugin yang rentan itu telah diinstal lebih dari 500.000 situs web WordPress.

“Kerentanan ini memungkinkan penyerang yang tidak diautentikasi, dengan akses ke secret salt (salah satu metode has) dan secret key situs web, berusaha mengeksekusi kode jarak jauh (RCE) melalui kelemahan deserialisasi,” tulis Wordfence.

Sementara, kerentanan kedua, ditemukan pada 27 Januari dengan kategori “sangat penting”. Masalahnya ialah cacat keamanan pemalsuan permintaan lalu lintas situs web, yang mengarah ke masalah cross-site scripting (XSS) dan muncul secara tidak sengaja ketika plugin diubah namanya.

Kerentanan itu bisa dimanfaatkan peretas untuk memasukkan JavaScript berbahaya yang bisa dipakai untuk pintu belakang (backdoor) di theme atau membuat akun admin baru untuk membajak seluruh situs web.[]

Redaktur: Andi Nugroho