JejakHacker.com – Dalam eksplorasi terbaru, seorang peneliti keamanan di saah satu forum hacker telah menemukan jalur yang sebelumnya terabaikan untuk enumerasi pengguna di WordPress.
Pengguna dengan nama Nitrax (nama samaran) ini berhasil mengungkap celah keamanan potensial yang dapat membuka risiko bagi pengguna.
Metode yang tidak dicakup oleh pemindai WordPress terkenal seperti WPScan dan Droopescan selama uji penetrasi.
Ujar Nitrax
WordPress, sejak diluncurkan pada tahun 2003, telah dipuji karena kekuatan dan keamanannya.
Namun, dalam postingan di salah satu forum hacker mengungkap temuan kerentanan unik terkait dengan REST API, fitur yang diperkenalkan beberapa versi yang lalu untuk mempermudah pengumpulan informasi website.
Pada umumnya, API WordPress ini dapat diakses melalui URL di bawah:
https://example.com/?rest_route=/Berbeda dengan beberapa fungsionalitas yang dapat dibatasi oleh plugin, kemampuan enumerasi pengguna ini tampaknya bawaan CMS ini, membuat instalasi baru rentan terhadap jenis rekognisi ini.
Dengan mengakses end point
Imbuhnya/wp/v2/users, aplikasi menampilkan rincian pengguna seperti ID, nama, dan slug, menimbulkan potensi risiko untuk enumerasi pengguna.
Risiko potensial adalah bahwa paparan informasi seperti itu dapat memfasilitasi serangan berikutnya, seperti Brute Force untuk mendapatkan akses tanpa izin.
Perlu dicatat! Bahwa dia menganalisis berbagai end point yang disediakan oleh REST API dan menyimpulkan bahwa, sejauh rilis terbaru, tidak ada indikasi serangan eskalasi hak istimewa yang memungkinkan.
Namun, paparan data sensitif detail pengguna tetap menjadi kekhawatiran.
Meskipun banyak artikel yang menjelaskan cara mencegah serangan tersebut dengan menonaktifkan parameter penulis (?author=ID) atau menggunakan kesalahan pesan umum ketika upaya koneksi gagal!
Jadi, mengatasi temuan vulnerability ini saya melakukan fork pada repositori WPScan dan menambahkan vektor enumerasi ini.
Saat ini saya sedang menunggu pakar Ruby untuk meninjau kode saya sebelum mengirimkan permintaan penarikan karena alat ini sangat besar sehingga saya takut merusak pola desain yang diterapkan.
Nitrax
