Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Exploit Development

wp2shell: Kerentanan Inti WordPress Memungkinkan Penyerang Tak Terotentikasi Menjalankan Kode

// by retasan-news July 18, 2026 6 min read
Ilustrasi kerentanan kritis WordPress core wp2shell

Request HTTP anonim dapat menjalankan kode di situs WordPress. Bug ini berada di WordPress core, sehingga instalasi bersih tanpa plugin apapun pun rentan. Setiap situs yang menjalankan WordPress 6.9 dan 7.0 berada dalam jangkauan serangan hingga hari Jumat, ketika WordPress merilis 6.9.5 dan 7.0.2 serta mengaktifkan forced updates melalui sistem auto-update. Dua bug ini sekarang membawa CVE ID: CVE-2026-63030 (REST API batch-route confusion) dan CVE-2026-60137 (SQL injection di WordPress core).

APA YANG TERJADI?

wp2shell adalah kombinasi dua bug, bukan satu. Adam Kues di Assetnote (bagian dari Searchlight Cyber) menemukan batch-route bug dan melaporkannya melalui program HackerOne WordPress. Writeup yang diterbitkan dengan nama wp2shell menyatakan serangan ini “tidak memiliki precondition dan dapat dieksploitasi oleh pengguna anonim.” SQL injection dilaporkan secara terpisah oleh TF1T, dtro, dan haongo.

Mekanisme serangan: SQL injection berada di parameter author__not_in pada WP_Query — jika diberikan string alih-alih array, pengecekan yang menanti array dilewati, menjatuhkan nilai mentah ke query. Untuk mencapai parameter ini tanpa login, endpoint batch melakukan tugasnya. Route /wp-json/batch/v1 WordPress menjalankan beberapa sub-request dalam satu panggilan dan melacak mereka dalam dua array paralel; error pada satu sub-request menjatuhkan array dari langkah satu, sehingga request berjalan di bawah handler request yang berbeda. Nested, kebingungan ini melewati allow-list endpoint dan mendaratkan input penyerang di query yang rentan, tanpa autentikasi.

Rentang versi yang terdampak terbagi: WordPress 6.8.0 hingga 6.8.5 hanya rentan terhadap SQL injection (diperbaiki di 6.8.6). WordPress 6.9.0 hingga 6.9.4 dan 7.0.0 hingga 7.0.1 rentan terhadap full RCE chain (diperbaiki di 6.9.5 dan 7.0.2). Endpoint batch sudah ada sejak WordPress 5.6 (2020), tetapi kebingungan yang menyalahgunakannya baru muncul di 6.9. Searchlight memperkirakan lebih dari 500 juta situs menjalankan WordPress secara global.

DETAIL TEKNIS

Skor CVSS untuk kedua CVE menarik untuk diperhatikan: WordPress sendiri menilai RCE chain sebagai Critical, tetapi CVE record-nya hanya 7.5 (High) dengan impact metrics hanya mencakup data access, bukan integrity atau availability loss yang diharapkan dari code execution. Sementara itu, SQL injection (CVE-2026-60137) bergantung pada skor lebih tinggi dari 9.1 (Critical). Label “Critical RCE” yang digunakan semua orang sebenarnya adalah CVE yang lebih rendah di antara keduanya, karena scoring menghargai direct reach injection ke database dan memperlakukan route confusion sebagai parsing flaw.

Satu kondisi mempersempit blast radius: path code execution hanya bekerja saat situs TIDAK menjalankan persistent object cache. Instalasi default tidak memiliki cache tersebut, sehingga exposure pada instalasi default tetap berlaku. Situs yang menggunakan Redis atau Memcached sebagai persistent object cache mungkin terhindar dari path ini, tetapi ini adalah efek samping, bukan fix, dan tidak menutupi SQL injection.

Mass exploitation WordPress sudah menjadi industri. Sebelum server caching-plugin yang bocor pada Juni, satu kerentanan caching-plugin saja memungkinkan WP-SHELLSTORM crew masuk ke lebih dari 17.000 situs berdasarkan klaim mereka sendiri, menggunakan bug yang sudah publik, sudah di-patch, dan hanya berfungsi pada non-default setting. Yang ini sudah publik, sudah di-patch, dan berfungsi pada default setting.

DAMPAK TERHADAP INDONESIA

WordPress adalah CMS paling populer di Indonesia, digunakan oleh jutaan situs mulai dari blog pribadi hingga portal berita besar dan website pemerintah. Dengan lebih dari 500 juta situs WordPress secara global, proporsi signifikan berada di Indonesia. Kerentanan ini sangat berbahaya karena tidak memerlukan autentikasi — penyerang hanya perlu mengirim request HTTP anonim ke endpoint batch untuk memperoleh akses ke database dan menjalankan kode.

Di bawah UU PDP (Pelindungan Data Pribadi), website yang memproses data pengguna memiliki kewajiban untuk melindungi data tersebut. Jika website WordPress dikompromikan melalui wp2shell, data pelanggan, kredensial pengguna, dan informasi sensitif lainnya dapat dicuri melalui SQL injection atau langsung melalui code execution. Ini termasuk website e-commerce, portal pemerintah, dan website media yang mengumpulkan data subscriber.

Yang mengkhawatirkan adalah banyak website WordPress di Indonesia yang dikelola oleh tim yang terbatas dan tidak selalu memiliki kapasitas untuk segera menerapkan update. Forced updates mungkin tidak mencapai situs yang menonaktifkan auto-update. WordPress Indonesia community dan hosting provider lokal perlu proaktif mengkomunikasikan update ini dan membantu pelanggan yang membutuhkan bantuan teknis.

REKOMENDASI MITIGASI

Update segera ke WordPress 6.9.5 (untuk branch 6.9), 7.0.2 (untuk branch 7.0), atau 6.8.6 (untuk branch 6.8). Verifikasi versi WordPress Anda secara langsung — jangan asumsikan forced update sudah mencapai situs Anda. Periksa wp-admin/about.php atau gunakan wp2shell.com untuk memeriksa apakah situs Anda terdampak.

Jika tidak dapat segera update, Searchlight merekomendasikan beberapa mitigasi stopgap (semua dapat merusak integrasi legitimate): (1) Di WAF, blokir /wp-json/batch/v1 DAN rest_route=/batch/v1 — keduanya harus diblokir karena rule yang hanya mencakup path /wp-json meninggalkan query-string route terbuka. Cloudflare menyatakan managed WAF-nya sekarang memblokir chain ini. (2) Nonaktifkan WP REST API, yang membunuh unauthenticated REST access secara menyeluruh. (3) Gunakan drop-in plugin singkat dari Searchlight yang menolak request anonim /batch/v1 di rest_pre_dispatch.

Scan traffic terhadap /batch/v1 akan menunjukkan berapa banyak attacker yang datang mencari. Pastikan juga untuk memeriksa log akses WordPress untuk aktivitas mencurigakan pada endpoint batch. Jika menggunakan WAF seperti Cloudflare, pastikan rules sudah aktif dan terkonfigurasi dengan benar. Pertimbangkan untuk mengimplementasikan security headers seperti CSP dan implementasikan monitoring terhadap perubahan file di instalasi WordPress Anda.

Analisa Retasan

wp2shell menyoroti paradox fundamental dalam keamanan open source: Anda tidak dapat mengirimkan fix tanpa mengirimkan peta ke bug. Searchlight menahan writeup technical-nya, namun dalam satu hari, peneliti lain sudah membaca patch, mempublikasikan mekanisme, dan menaruh exploit di GitHub. Ini adalah bentuk tepat dari disclosure yang dikejar. WordPress merilis forced update karena memahami bahwa race condition antara patch availability dan exploit availability adalah segalanya. Dua bug yang digabungkan ini — REST API batch-route confusion dan SQL injection — sangat elegan. Batch endpoint sudah ada sejak 2020, tetapi kebingungan array yang menyalahgunakannya baru muncul di 6.9. Ini berarti selama 5 tahun, batch endpoint berfungsi sebagai attack surface potensial yang tidak terlihat sampai seseorang cukup jeli untuk menemukan bahwa error handling yang salah pada satu sub-request dapat menjatuhkan array tracking dan mengarahkan input ke query yang rentan. Pola ini — menyalahgunakan fitur sah yang sudah ada selama bertahun-tahun — menjadi semakin umum dalam vulnerability research modern.

Perdebatan tentang scoring CVSS untuk wp2shell juga sangat relevan. WordPress menilai RCE chain sebagai Critical, tetapi CVE record-nya hanya 7.5 (High) karena scoring menghargai direct reach injection ke database (9.1+, Critical) dan memperlakukan route confusion sebagai parsing flaw. Ini mencerminkan masalah mendasar dalam CVSS: metrik yang dirancang untuk menilai vulnerability individual seringkali gagal menilai impact dari vulnerability chain. Dua bug yang masing-masing “High” atau “Critical” secara individual dapat menjadi “Critical” atau “Catastrophic” saat digabungkan. Bagi organisasi yang menggunakan CVSS scores sebagai threshold untuk patch prioritization, mereka mungkin meremehkan urgensi CVE-2026-63030 (7.5) padahal dampak aktualnya adalah unauthenticated RCE.

Dari perspektif Indonesia, wp2shell adalah pengingat bahwa attack surface terbesar seringkali bukan di infrastructure yang canggih, tetapi di software yang paling umum digunakan. Dengan jutaan website WordPress di Indonesia — dari portal berita Kompas, Detik, hingga website pemerintah daerah dan UMKM — potensi dampak serangan ini sangat luas. Masyarakat ICT Indonesia dan Komunitas WordPress Indonesia perlu memainkan peran aktif dalam mendistribusikan informasi update ini. Yang paling kritis adalah website yang menjalankan versi 6.9 atau 7.0 (rilis yang relatif baru, kurang dari 8 bulan) dan memiliki auto-update dinonaktifkan — mereka adalah target paling rentan. Hosting provider lokal seperti Niagahoster, Domainesia, dan Rumahweb memiliki peran penting untuk secara proaktif meng-update WordPress di server mereka atau menghubungi pelanggan yang masih menjalankan versi rentan.

🔗 Sumber: The Hacker News — New wp2shell WordPress Core Flaw Lets Unauthenticated Attackers Run Code

Tags: CMS Security Critical Vulnerability CVE-2026-60137 CVE-2026-63030 Remote Code Execution REST API SQL Injection Web Security WordPress wp2shell
Share:

retasan-news

← Previous GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih
Next → Spies, Malware, dan Blackout: Uni Eropa Salahkan Unit Rahasia FSB atas Dekade Sabotase Siber

Artikel Terkait

Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

July 18, 2026
LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator

LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator

July 18, 2026
GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

July 18, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.