- WordFence mengungkapkan kerentanan RCE kritis (CVE-2025-6389) di plugin Sneeit Framework, yang memengaruhi versi ≤8.3
- Eksploitasi ini memungkinkan penyerang membuat akun admin, menginstal plugin berbahaya, dan membajak situs WordPress.
- Pengguna disarankan untuk memperbarui ke v8.4, memantau admin nakal, file PHP mencurigakan, dan aktivitas AJAX berbahaya.
Peneliti keamanan di WordFence telah memperingatkan kerentanan tingkat kritis pada plugin populer yang memungkinkan pelaku ancaman mendapatkan akses ke situs WordPress sebagai administrator.
Dalam penasihat keamanan yang diterbitkan minggu lalu, WordFence mengatakan pihaknya menemukan bug eksekusi kode jarak jauh (RCE) di Sneeit Framework, perangkat backend yang digunakan admin WordPress untuk mengelola opsi tema, tata letak, dan fitur khusus. Bug ini dilacak sebagai CVE-2025-6389, dengan skor tingkat keparahan 9,8/10 (kritis) dan memengaruhi semua versi plugin, hingga dan termasuk 8.3.
Versi 8.4, yang dirilis pada awal Agustus 2025, tidak terpengaruh. Menurut The Hacker News, plugin tersebut saat ini memiliki lebih dari 1.700 instalasi aktif.
Bagaimana agar tetap aman
Menjelaskan cara kerja kerentanan, WordFence mengatakan bahwa pelaku jahat dapat memanggil fungsi PHP sewenang-wenang dan membuat pengguna admin baru, yang kemudian dapat digunakan penyerang untuk mengambil kendali penuh atas situs web target. Setelah itu, mereka dapat dengan mudah memasang plugin berbahaya, menambahkan pengikis data, mengarahkan korban ke situs lain, menampilkan laman landas phishing, dan banyak lagi.
Penjahat dilaporkan mulai mengeksploitasi kelemahan tersebut setelah diumumkan kepada publik. Pada hari pertama, WordFence memblokir lebih dari 131.000 serangan, dan bahkan saat ini, jumlah serangan harian mencapai sekitar 15.000.
Cara terbaik untuk melindungi dari kerentanan ini adalah dengan memperbarui plugin ke versi 8.4. Pengguna juga disarankan untuk selalu memperbarui platform WordPress mereka serta semua plugin dan tema lainnya. Selain itu, semua elemen yang tidak digunakan harus dihapus dari platform.
Ada juga tanda-tanda kompromi yang harus diwaspadai oleh webmaster – seperti munculnya akun admin WordPress baru yang tidak sah, yang dibuat oleh callback AJAX yang rentan.
Tanda bahaya lainnya adalah adanya file PHP berbahaya yang diunggah ke server, termasuk webshell bernama xL.php, Canonical.php, .a.php, simple.php, atau up_sf.php, serta file .htaccess mencurigakan yang dirancang untuk menjalankan jenis file berbahaya.
Situs berbahaya juga mungkin berisi file seperti finderdata.txt atau goodfinderdata.txt yang dihasilkan oleh alat pencari shell milik penyerang. File log yang menunjukkan permintaan AJAX yang berhasil dari IP penyerang yang diketahui — seperti 185.125.50.59, 182.8.226.51, 89.187.175.80, dan lainnya yang tercantum dalam laporan merupakan indikator kuat lainnya bahwa kerentanan digunakan untuk mengakses situs.
melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
