![[CVE-2025-2158] Kerentanan Local File Inclusion pada WordPress Review Plugin](https://ttis.kukarkab.go.id/storage/uploads/image/vZ68B6d1u2yBUeolZVOFnwqjfuualvZh1iDGA9KR.png)
[CVE-2025-2158] Kerentanan Local File Inclusion pada WordPress Review Plugin
Dibuat : Senin, 15 September 2025 | Penulis : Admin TTIS
Telah teridentifikasi kerentanan Local File Inclusion (LFI) pada plugin The WordPress Review Plugin: The Ultimate Solution for Building a Review Website untuk WordPress. Kerentanan ini memengaruhi seluruh versi hingga 5.3.5.
Kerentanan memungkinkan pengguna terautentikasi dengan hak akses minimal Contributor untuk menyertakan dan mengeksekusi file arbitrer di server. Dalam kondisi tertentu, hal ini dapat mengarah pada:
- Eksekusi kode PHP berbahaya,
- Pembocoran data sensitif,
- Bypass kontrol akses,
- Pengambilalihan sistem jika digabungkan dengan teknik lain.
Dampak
- Tingkat Keparahan: Tinggi
- Aktor ancaman: Penyerang dengan akses akun Contributor ke atas.
- Potensi: Akses tidak sah, kebocoran informasi, hingga eskalasi ke eksekusi kode jarak jauh (RCE).
Rekomendasi Mitigasi
- Periksa versi plugin pada sistem WordPress yang digunakan.
- Segera update ke versi terbaru apabila patch resmi telah tersedia.
- Jika patch belum tersedia:
- Nonaktifkan atau hapus plugin untuk mencegah eksploitasi.
- Tinjau akses pengguna dan batasi jumlah akun dengan peran Contributor/Editor/Admin.
- Audit file & log server untuk mendeteksi kemungkinan kompromi.
- Terapkan Web Application Firewall (WAF) serta aturan keamanan vendor.
- Segera lakukan reset kredensial (database, API keys, admin) jika terdapat indikasi kebocoran.
Referensi
- NVD: CVE-2025-2158
- Wordfence Security Advisory
- Patchstack Vulnerability Database
Berita Terbaru
![[CVE-2025-55177] Celah keamanan 0-Day pada Whatsapp (iOS & Mac)](https://ttis.kukarkab.go.id/storage/uploads/image/DKWZYtVtYu6lTrclmfvs6zR9DsJeOuYSCVfBRzKR.png)
