Plugin WordPress “Front-End Users” Kena Bug Parah, Bisa Disusupi File Jahat! (CVE-2025-2005)

8 April 2025 – oleh Redaksi Keamanan Siber

Sebuah celah keamanan serius ditemukan di plugin WordPress Front-End Users versi 3.2.32 ke bawah. Bug ini memungkinkan siapa saja—tanpa perlu login—buat upload file berbahaya, termasuk PHP shell, langsung lewat form registrasi pengguna. Parahnya lagi, file tersebut bisa langsung dijalankan dari server.

Masalah utamanya ada pada bagian upload file yang nggak ngecek ekstensi dan nggak butuh autentikasi. Jadi, hacker bisa dengan mudah unggah file jahat, dan kalau servernya ngizinin eksekusi PHP di folder tertentu, ya… tamat. Situs bisa langsung di-takeover.

📁 File-file berbahaya ini bakal nongol di folder:

/wp-content/uploads/ewd_feup_uploads/

Memang sih, nama filenya diacak, tapi tetap bisa diakses dan dijalankan kalau servernya nggak dikunci rapat.

🧪 Sudah Ada Bukti Eksploitasi!
Cukup dengan kirim form registrasi yang dimodif, file bisa langsung masuk ke server target. Bahkan sekarang udah beredar script Python yang bisa otomatis cari dan eksploit situs yang pakai plugin ini.

🛡️ Gimana Cara Lindungi Situsmu?
Kalau kamu pakai plugin ini, sebaiknya:

  • Update secepatnya kalau udah ada versi terbaru.

  • Kalau belum ada patch resmi, nonaktifkan dulu plugin-nya.

  • Pastikan folder uploads nggak bisa eksekusi file PHP.

  • Pasang plugin firewall kayak Wordfence buat cegah serangan.

📌 Detail Kerentanan:

  • CVE: CVE-2025-2005

  • Risiko: Kritis (CVSS 10.0)

  • Terdampak: Front-End Users (versi 3.2.32 ke bawah)

  • Jenis Serangan: Upload File Arbitrary → Eksekusi Jarak Jauh (RCE)

  • Status Patch: Belum dikonfirmasi

Jangan anggap remeh. Satu file kecil bisa jadi pintu masuk buat ngacak-acak seluruh situsmu. Selalu update dan pastikan keamanan tetap jadi prioritas utama.