Situs WordPress yang menggunakan plugin WP Maps Pro versi lama kini menjadi target empuk bagi para peretas. Sebuah celah keamanan kritis memungkinkan mereka membuat akun administrator palsu tanpa otentikasi, membuka pintu lebar bagi berbagai serangan siber.
Baca Juga: Xiaomi Mijia Powerful Wind Ultra 3HP: AC Lantai Canggih Dinginkan Ruangan dalam 15 Detik
Dilansir dari BleepingComputer, kerentanan ini, yang dilacak sebagai CVE-2026-8732, memiliki tingkat keparahan kritis dan memengaruhi WP Maps Pro versi 6.1.0 dan yang lebih lama. Celah ini pertama kali ditemukan dan dilaporkan oleh peneliti keamanan David Brown.
WP Maps Pro sendiri merupakan plugin premium yang populer di ekosistem WordPress, dirancang untuk membangun peta interaktif dan pencari lokasi yang dapat disesuaikan. Plugin ini banyak digunakan oleh berbagai entitas, mulai dari bisnis, situs properti, situs perjalanan, hingga direktori dan organisasi yang perlu menampilkan banyak lokasi di peta.
Baca Juga: Paradoks Efisiensi AI dalam Pemrograman: Mempercepat atau Memperlambat?
Dengan lebih dari 15.800 penjualan di Envato Market, jangkauan potensi dampaknya cukup luas.
Kerentanan CVE-2026-8732 ini berakar pada fitur “temporary access” atau akses sementara dalam plugin. Fitur ini awalnya dimaksudkan untuk memungkinkan staf dukungan vendor mengakses situs pelanggan guna membantu pemecahan masalah. Namun, peneliti keamanan David Brown menemukan bahwa endpoint AJAX yang digunakan untuk fitur ini dapat diakses oleh pengguna yang tidak terotentikasi.
Lebih lanjut, perlindungan yang seharusnya ada hanya mengandalkan pemeriksaan nonce yang terekspos secara publik di JavaScript frontend, membuatnya tidak efektif. Ini berarti, tanpa perlu login atau verifikasi identitas, siapa pun bisa berinteraksi dengan fitur ini.
Dengan celah ini, penyerang dapat mengirimkan permintaan khusus yang memicu kode untuk membuat pengguna WordPress baru. Pengguna baru ini secara otomatis diberi peran administrator, lengkap dengan nama pengguna yang dibuat secara acak dan alamat email ‘support@flippercode.com’ yang sudah diatur.
Setelah itu, sistem akan membuat URL login tanpa kata sandi atau ‘magic login URL’ dan mengirimkannya ke sistem jarak jauh milik penyerang.
Begitu penyerang mengunjungi URL tersebut, mereka akan secara otomatis terotentikasi ke akun administrator yang baru dibuat, tanpa memerlukan kata sandi atau verifikasi lainnya. Akses admin penuh ini memberikan kendali penuh atas situs web.
Memiliki akses tingkat administrator pada sebuah situs web berarti penyerang dapat melakukan berbagai tindakan berbahaya. Mereka bisa menyuntikkan backdoor persisten, memodifikasi konten situs, mengakses data pribadi, menyebarkan web shell, menginstal plugin berbahaya, hingga mengambil alih seluruh kendali situs web.
Ini adalah ancaman serius yang dapat merusak reputasi dan operasional bisnis.
Para peneliti di perusahaan keamanan WordPress Defiant telah mengamati upaya eksploitasi aktif terhadap kerentanan ini. Mereka melaporkan telah memblokir lebih dari 3.600 percobaan serangan hanya dalam 24 jam terakhir, menunjukkan betapa mendesaknya situasi ini.
Brown melaporkan celah ini kepada Wordfence pada 24 Maret, dan vendor plugin diberitahu pada 16 Mei setelah eksploitasi divalidasi. Sebagai respons, WP Maps Pro versi 6.1.
1 yang menyertakan perbaikan untuk CVE-2026-8732 telah dirilis pada 20 Mei. Administrator situs web sangat dianjurkan untuk segera memperbarui plugin mereka untuk melindungi situs dari potensi serangan.
Baca Juga: Huawei: Sanksi AS Justru Pacu Pertumbuhan Industri Semikonduktor China
Pembaruan ini krusial untuk menjaga keamanan situs WordPress Anda dari ancaman eksploitasi yang sedang berlangsung.
Leave a Comment