Gawat! 200.000 Situs WordPress Rentan Disusupi Serangan Akibat Cacat Plugin

Harianjogja.com, JAKARTA—Lebih dari 200.000 situs web WordPress menggunakan versi rentan dari plugin Post Simple Mail Transfer Protocol (SMTP) yang memungkinkan peretas mengendalikan akun administrator.

BACA JUGA: Kemenkominfo Akui Salah Blokir WordPress

Seorang peneliti keamanan melaporkan kerentanan tersebut kepada perusahaan keamanan WordPress, PatchStack. Kerentanan tersebut kini diidentifikasi sebagai CVE-2025-24000 dan menerima skor keparahan sedang sebesar 8,8.

Masalah keamanan mempengaruhi semua versi Post SMTP hingga 3.2.0, yang disebabkan oleh mekanisme kontrol akses yang rusak di titik akhir REST API plugin. Jadi, plugin tersebut hanya memverifikasi apakah pengguna telah masuk tanpa adanya pemeriksaan pada tingkat izin.

Itu berarti, pengguna dengan hak istimewa rendah seperti pelanggan, dapat mengakses log email yang berisi konten email lengkap.

Akan tetapi, di balik situs yang rentan tersebut, pelanggan tetap dapat memulai pengaturan ulang kata sandi untuk akun administrator, mencegat email pengaturan ulang melalui log, dan mendapatkan kendali atas akun tersebut.

Pengembang plugin, Saad Iqbal, telah diberitahu perihal kelemahan tersebut dan menanggapi dengan perbaikan untuk ditinjau.

“Solusinya adalah dengan menggabungkan pemeriksaan hak istimewa tambahan dalam fungsi ‘get_logs_permission’. Ini akan memvalidasi izin pengguna sebelum memberikan akses ke panggilan API yang sensitif,” kata Iqbal, menjelaskan pembaruan plugin Post SMTP, dilansir Bleepingcomputer, Senin (28/07/25).

Perbaikan tersebut akan dimasukkan ke dalam Post SMTP versi 3.3.0, yang telah diterbitkan sejak 11 Juni lalu.

Statistik unduhan di Wordpress.org menunjukkan, 48,5% basis pengguna plugin telah memperbarui ke versi 3.3. Yang artinya, lebih dari 200.000 situs web rentan terhadap CVE-2025-24000.

Sebanyak 24,2%, atau setara 96.800 situs masih menjalankan versi Post SMTP dari cabang 2.x, yang rentan terhadap kelemahan keamanan tambahan, sehingga rentan akan serangan.

Post SMTP dipasarkan sebagai pengganti fungsi ‘wp_mail()’, dan merupakan plugin pengiriman email populer untuk WordPress yang telah diinstal lebih dari 400.000 kali.

Itu merupakan terobosan generasi selanjutnya, yang dapat membantu pengguna mengkonfigurasi mailer SMTP apapun, termasuk Microsoft 365.

Plugin ini juga tersedia dalam versi Post SMTP Pro, yang dapat membuka fitur lainnya yang lebih canggih seperti log email terperinci, statistik dan pelaporan pengiriman email, serta beberapa opsi peringatan kegagalan email.

Cek Berita dan Artikel yang lain di Google News

Sumber : Bisnis