Plugin Wordpress Rentan Seranga SQL Injection

Kerentanan SQL Injection telah ditemukan pada salah satu plugin Wordpress yang dipasang dilebih dari 300.000 situs web, plugin dari WordPress dapat dimanfaatkan oleh hacker untuk mencuri database dan membajak situs secara remote.

Cacat ini telah ditemukan pada plugin WP Statistics yang sangat populer, yang memungkinkan administrator situs mendapatkan informasi terperinci yang terkait dengan jumlah pengguna secara online disitus mereka, jumlah kunjungan dan pengunjung, dan statistik halaman.

Ditemukan oleh tim Sucuri, plugin WordPress WP Statistics rentan terhadap SQL Injection yang memungkinkan penyerang jarak jauh/remote dapat mencuri informasi sensitif dari database situs web dan mungkin mendapatkan akses root ke situs web.

SQL Injection adalah aplikasi web bug yang memungkinkan hacker untuk menyuntikkan input kode Structured Query Language (SQL)  ke web untuk menentukan struktur dan lokasi kunci basis data, yang pada akhirnya memungkinkan pencurian database.

Kerentanan injeksi SQL pada plugin WP Statistics berada dalam beberapa fungsi, termasuk wp_statistics_searchengine_query ().

Salah satu fungsi yang rentan adalah wp_statistics_searchengine_query () dalam file 'includes / functions / functions.php' yang dapat diakses melalui fungsi WordPress 'AJAX melalui fungsi inti wp_ajax_parse_media_shortcode (). "

Tim Statistik WP telah menambal kerentanan tersebut dalam versi WP Statistics versi 12.0.8 yang terbaru.