Trending :
September 13, 2025
September 13, 2025
Berita Keamanan

Kerentanan Thema WordPress

sandi sandikominfo

Tema Newsmatic yang digunakan pada website rentan terhadap paparan informasi sensitif akibat kelemahan pada fungsi newsmatic_filter_posts_load_tab_content. Kerentanan ini memungkinkan penyerang yang tidak diautentikasi untuk mengakses dan melihat konten posting, termasuk draft yang seharusnya tidak dapat diakses publik.

Kerentanan ini telah teridentifikasi pada semua versi hingga 1.3.0 dan baru diperbaiki pada versi 1.3.5. Dengan demikian, apabila website masih menggunakan versi lama, terdapat risiko kebocoran informasi internal atau konten yang belum dipublikasikan. Insiden ini termasuk dalam kategori Broken Access Control (OWASP A5) dengan tingkat risiko Medium (CVSS 5.3).

Sebagai langkah mitigasi, sistem direkomendasikan untuk segera memperbarui tema ke versi terbaru (≥ 1.3.5) serta melakukan pengecekan log akses untuk mengidentifikasi adanya percobaan atau aktivitas eksploitasi.

Catatan :

Newsmatic < 1.3.5 – Paparan Informasi Tanpa Autentikasi melalui newsmatic_filter_posts_load_tab_content

Deskripsi
Tema Newsmatic untuk WordPress memiliki kerentanan Paparan Informasi Sensitif pada semua versi hingga 1.3.0 melalui fungsi newsmatic_filter_posts_load_tab_content. Kerentanan ini memungkinkan penyerang yang tidak diautentikasi untuk melihat posting draft dan konten posting.

Tema yang Terpengaruh

  • newsmatic

Sudah Diperbaiki di Versi

  • 1.3.5

Referensi

Klasifikasi

  • Tipe: Tanpa Otorisasi (No Authorization)
  • OWASP Top 10: A5 – Broken Access Control
  • CWE: CWE-862 (Missing Authorization)
  • CVSS: 5.3 (Medium)

Lain-lain

  • Peneliti Asli: Krzysztof Zając
  • Terverifikasi: Tidak
  • WPVDB ID: ce871729-21cd-44dc-bff0-b1c03db701f5

Timeline

  • Dipublikasikan ke Publik: 25 Maret 2024 (sekitar 1 tahun lalu)
  • Ditambahkan: 25 Maret 2024
  • Terakhir Diperbarui: 25 Maret 2024

Kerentanan Lain yang Terkait (contoh)

  • ListApp Mobile Manager <= 1.7.7 – Missing Authorization to Privilege Escalation (11 Des 2024)
  • CF7 Mailchimp Add-on <= 2.2 – Missing Authorization (4 Juli 2025)
  • Bridge Core < 3.3.1 – Missing Authorization (24 Jan 2025)
  • Booster Plus for WooCommerce < 7.1.3 – Missing Authorization to Arbitrary Options Disclosure (5 Jan 2024)
  • Super Progressive Web Apps < 2.2.22 – Missing Authorization (22 Nov 2023)

Sumber : https://wpscan.com/vulnerability/ce871729-21cd-44dc-bff0-b1c03db701f5/

Leave a Reply

Your email address will not be published. Required fields are marked *