Plugin WordPress berbayar ‘Gravity Forms‘, yang telah digunakan lebih dari 930.000 web, alami kerentanan terhadap Injeksi PHP Objek yang tidak terautentikasi.
Gravity Forms merupakan plugin untuk pembuatan beragam formulir khusus seperti form pembayaran, pendaftaran, pengunggahan file, atau formulir lainnya.
Di situs web resmi dari Gravity Forms mengklaim digunakan oleh berbagai perusahaan besar, termasuk Airbnb, ESPN, Nike, NASA, PennState, dan Unicef.
Kerentanan, yang dilacak sebagai CVE-2023-28782, memengaruhi semua versi plugin dari 2.73 ke bawah.
Cacat ditemukan oleh PatchStack pada 27 Maret 2023, dan diperbaiki oleh vendor dengan merilis versi 2.7.4, yang tersedia pada 11 April 2023.
Administrator website akan mendapatkan notifikasi untuk melakukan pembaruan keamanan segera pada plugin Gravity Forms.
Masalah muncul dari kurangnya pemeriksaan input yang disediakan pada fungsi ‘maybe_unserialize’ dan ini dapat muncul dari formulir yang dibuat dengan Gravity Forms.
“Karena PHP memungkinkan serialisasi objek, pengguna yang tidak diautentikasi dapat meneruskan string serial ad-hoc ke panggilan unserialize yang rentan, menghasilkan injeksi objek PHP sewenang-wenang ke dalam lingkup aplikasi,” PatchStack memperingatkan dalam laporan tersebut.
Dalam kasus tersebut, eksploitasi CVE-2023-28782 dapat menyebabkan akses dan modifikasi file tanpa hak, eksfiltrasi data pengguna/anggota, eksekusi kode, dan banyak lagi.
Vendor plugin memperbaiki kekurangan tersebut dengan menghapus penggunaan fungsi ‘maybe_unserialize’ dari plugin Gravity Forms di versi 2.74.
Penting juga untuk menerapkan pembaruan apa pun di semua plugin dan tema yang aktif di situs WordPress, karena perbaikan keamanan dapat menghilangkan resiko serangan, seperti POP (property-oriented programming), yang dapat dimanfaatkan untuk melakukan serangan yang merusak.
Sumber : Bleeping Computer