Kerentanan Menggunakan Plugin “Elementor Page Builder”

By | Januari 29, 2020

Page Builder atau Pembuat halaman WordPress yang populer, Elementor memiliki kerentanan yang disebut XSS yang Terotentikasi. Kerentanan semacam ini memungkinkan peretas untuk menjalankan skrip dari situs lain dan melakukan hal-hal seperti mencuri kredensial (Log in) masuk.

Kerentanan melibatkan dan menyebabkan skrip dimuat ke situs rentan (misalnya melalui kotak pencarian), membuat URL yang ketika diikuti akan mengeksekusi skrip (yang di-host di situs lain). Peretas kemudian mengirimkan tautan ke seseorang yang kredensialnya bisa dicuri oleh peretas.

Tidak terungkap jika seorang peretas dapat menggunakan exploit ini untuk mencuri kredensial admin penerbit Elementor.

Menurut Database Kerentanan WordPress, bukti konsep disembunyikan hingga 12 Februari untuk memberi pengguna waktu untuk memperbarui.

Situs perusahaan keamanan situs web yang menemukan kerentanan (Impenetrable.tech) telah menerbitkan walk-through bagaimana mereka menemukan celah keamanan.

Begitu mereka menemukan kerentanannya, mereka menghubungi penerbit plugin Elementor Page Builder dan penerbit segera memperbaruinya.

Hanya setelah Elementor ditambal barulah situs keamanan menerbitkan akun kerentanan.

Kerentanan ini memengaruhi versi 2.8.4 dan yang lebih lama. Sobat dianjurkan untuk masuk ke situs WordPress dan memperbarui situs jika sobat menggunakan plugin Elementor Page Builder. Versi Elementor Page Builder terbaru adalah 2.8.5.

Setelah sobat masuk ke akun WordPress, sobat akan melihat ada tautan pembaruan dari pita navigasi admin di bagian atas halaman, atau sobat dapat mengakses halaman pembaruan dari tautan di bilah sisi admin untuk melihat semua pembaruan yang tersedia.

Bagi sobat yang ingin kurang mengerti cara menggunakan elementor, sobat bisa lihat panduan berikut tentang Cara Membuat Kustom Layout WordPress Dengan Elementor.