Plugin tema WordPress yang populer dengan lebih dari 200.000 instalasi aktif berisi kerentanan software yang parah namun mudah dieksploitasi. Apabila dibiarkan tanpa ditonton, dapat membuat penyerang jarak jauh yang tidak diautentikasi membahayakan berbagai situs web dan blog.

Plugin yang rentan adalah ‘ThemeGrill Demo Importer’ yang datang dengan tema gratis serta premium yang dijual oleh perusahaan pengembangan software ThemeGrill.

Plugin ThemeGrill Demo Importer telah dirancang untuk memungkinkan admin situs WordPress mengimpor konten demo, widget, dan pengaturan dari ThemeGrill sehingga memudahkan mereka untuk menyesuaikan tema dengan cepat.

Menurut laporan perusahaan keamanan WebARX yang telah dibagikan dengan The Hacker News, ketika tema ThemeGrill diinstal dan diaktifkan, plugin yang terpengaruh menjalankan beberapa fungsi dengan hak administratif tanpa memeriksa apakah pengguna yang menjalankan kode diautentikasi dan merupakan admin.

Cacat ini pada akhirnya dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menghapus seluruh database situs web yang ditargetkan ke keadaan default. Setelah itu mereka juga akan secara otomatis login sebagai administrator, memungkinkan mereka untuk mengambil kendali penuh atas situs.

“Di sini kita melihat (di screenshot) bahwa tidak ada pemeriksaan otentikasi dan hanya parameter do_reset_wordpress yang perlu ada di URL pada halaman berbasis ‘admin’ di WordPress, termasuk /wp-admin/admin-ajax.php.”

Menurut para peneliti WebARX, kerentanan tersebut mempengaruhi plugin ThemeGrill Demo Importer versi 1.3.4 hingga 1.6.1, semuanya dirilis dalam 3 tahun terakhir.

“Ini adalah kerentanan serius dan dapat menyebabkan sejumlah besar kerusakan. Karena tidak membutuhkan muatan yang mencurigakan, firewall tidak diharapkan untuk memblokir ini secara default dan aturan khusus perlu dibuat untuk memblokir kerentanan ini, “kata para peneliti WebARX.

WebARX, yang menyediakan deteksi kerentanan dan software penambalan virtual untuk melindungi situs web dari kerentanan komponen pihak ketiga, bertanggung jawab melaporkan kerentanan ini kepada pengembang ThemeGrill dua minggu lalu, selanjutnya merilis versi tambalan 1.6.2 pada 16 Februari.

Dashboard WordPress secara otomatis memberi tahu admin ketika sebuah plugin perlu diperbarui tetapi Anda juga dapat memilih untuk memasang pembaruan plugin secara otomatis alih-alih menunggu tindakan manual.