Kalian punya website toko online WordPress yang dibangun dengan WooCommerce, kah? FYI, belum lama ini ditemukan celah kerentanan di lima plugin WooCommerce! Tak usah lama-lama, simak infonya yuk Waspada! Ada Lima Plugin WooCommerce dengan Celah Kerentanan

Celah Kerentanan Lima Plugin WooCommerce

Pada tanggal 7 November 2022, National Vulnerability Database (NVD) merilis informasi tentang ditemukannya celah keamanan di lima plugin WooCommerce . 

Apa saja lima plugin WooCommerce yang terdampak celah kerentanan tersebut?

1. Advanced Order Export for WooCommerce

Versi terdampak: <=3.3.2

Tingkat keparahan: 6,5 dari 10 (Menengah)

Advanced Order Export for WooCommerce adalah plugin yang berguna untuk mengekspor data orderan ke berbagai format file. 

Plugin yang telah diinstall pada 100 ribu website ini, memiliki risiko kerentanan Cross Site Request Forgery (CSRF). Hacker bisa mengelabui pemilik website agar melakukan sesuatu secara tak sengaja. 

Nah, dalam kasus plugin Advanced Order Export for WooCommerce, upaya tersebut dilakukan saat mengunduh suatu file. Fungsi plugin ini adalah untuk mengekspor detail orderan maka file yang diincar hacker tentunya data orderan pelanggan yang umumnya berisi informasi pribadi dan sensitif.

2. Advanced Dynamic Pricing for WooCommerce

Versi terdampak: <=4.1.5

Tingkat keparahan: 4,3 dari 10 (Menengah)

Advanced Dynamic Pricing for WooCommerce adalah plugin untuk membantu menetapkan aturan harga dan diskon produk secara mudah. 

Plugin ini juga dihantui kerentanan jenis CSRF. Bedanya, CSRF di sini bisa menyebabkan terjadinya rule type migration. 

Sebenarnya, belum ada keterangan pasti tentang cara kerja rule type migration. Dampaknya di 20 ribu website yang menggunakan plugin Advanced Dynamic Pricing for WooCommerce juga belum jelas, sih. Namun, bisa jadi kerentanan ini digunakan hacker untuk mengubah informasi harga ataupun diskon produk sesuka hati.

3. Advanced Coupons for WooCommerce Coupons

Versi terdampak: <=4.5

Tingkat keparahan: 4,3 dari 10 (Menengah)

Plugin yang dihantui celah kerentanan jenis CSRF selanjutnya adalah Advanced Coupons for WooCommerce Coupons. 

Namun, belum ada kejelasan terkait dampak CSRF di plugin dengan 10 ribu instalasi lebih. Satu-satunya hal yang bisa diketahui adalah celah kerentanan plugin Advanced Coupons dapat memberhentikan pemberitahuan melalui teknik AJAX.

Plugin ini sendiri berfungsi untuk menambahkan dan mengelola kupon diskon, gift card, dan semacamnya.

4. WooCommerce Dropshipping by OPMC

Versi terdampak: <=4.3

Tingkat keparahan: 9,8 dari 10 (Kritis)

WooCommerce Dropshipping by OPMC adalah plugin untuk menambahkan fitur untuk kebutuhan bisnis dropship.

Plugin dengan 3000 instalasi ini menyimpan masalah keamanan jenis SQL Injection  yang memungkinkan hacker untuk mendapat akses administrator. Dengan akses tersebut, hacker bisa bebas menghapus bahkan mengintip informasi pribadi di database website korban. 

Tak heran kalau celah keamanan ini mendapat label kritis.

Penyebab SQL Injection di WooCommerce Dropshipping ini karena kurangnya sanitasi atau pembersihan data. Tepatnya, di salah satu REST Endpoint yang memanfaatkan pernyataan SQL tertentu.

5. Role Based Pricing for WooCommerce

Versi terdampak: <=1.6.2

Skor keparahan: 8,8 dari 10 (Tinggi)

Role Based Pricing for WooCommerce adalah plugin untuk mengatur harga produk sesuai dengan role pengguna. 

Plugin yang telah diinstall 2000 kali ini tak hanya memiliki satu tapi dua celah kerentanan jenis CSRF. Masalah CSRF yang pertama memungkinkan pengguna tingkat rendah seperti subscriber mengupload file ke website secara sembarangan. Celah kerentanan ini menghantui Role Based Pricing versi sebelum 1.6.2.

Sementara CSRF yang kedua menyebabkan subscriber bisa mengupload file sekaligus mengeksploitasi website korban menggunakan teknik PHAR deserialization. 

Update 5 Plugin WooCommerce ke Versi Terbaru (Solusi Terbaik)

Para developer plugin WooCommercetelah merilis versi terbaru untuk memperbaiki celah keamanan tadi, dengan rincian sebagai berikut:

• Advanced Order Export for WooCommerce – 3.3.3
• Advanced Dynamic Pricing for WooCommerce – 4.1.6
• Advanced Coupons for WooCommerce Coupons – 4.5.0.1
• WooCommerce Dropshipping by OPMC – 4.4
• Role Based Pricing for WooCommerce – 1.6.3

Jika kalian pengguna salah satu bahkan semua plugin tersebut, kami menghimbau agar mengupdate plugin WooCommerce ke versi terbaru. 

Caranya adalah masuk ke dashboard WordPress lalu akses menu Updates dari sidebar.

Di halaman plugin, klik tanda centang pada plugin yang ingin diperbarui. Jika sudah, silakan klik tombol Update Plugins dan tunggu prosesnya.

Gimana, mudah kan cara memperbarui plugin WooCommerce ke versi terbaru.

Okay, jadi lima plugin untuk WooCommerce di atas punya ancaman bagi pengguna website karena adanya celah kerentanan berbahaya. Untungnya, masalah tersebut berhasil teratasi karena update yang dirilis pengembang plugin. 

Nah, yang perlu dilakukan adalah update masing-masing plugin tersebut ke versi terbaru.